Tindakan peningkatan keamanan siber IoT:Apa artinya, dan bagaimana kita mempersiapkannya?

Tujuan dari IoT Cybersecurity Improvement Act tahun 2017 adalah untuk “memberikan standar operasional keamanan siber minimal untuk perangkat yang terhubung ke Internet yang dibeli oleh agen Federal, dan untuk tujuan lain”.

Berdasarkan undang-undang yang diusulkan, vendor harus memenuhi sejumlah persyaratan sebelum mereka dapat membuat kontrak dengan lembaga pemerintah, termasuk:

• Perangkat harus bebas dari kerentanan dan cacat yang diketahui
• Perangkat harus dapat menerima pembaruan perangkat lunak reguler
• Perangkat tidak boleh menyertakan kredensial tetap atau kode keras yang digunakan untuk administrasi jarak jauh, pengiriman pembaruan, atau komunikasi

Mempertimbangkan implikasi keamanan dan ekonomi dari jaringan IoT milik pribadi, bagaimanapun, sangat mungkin bahwa peraturan seperti ini dapat diperluas di luar kontrak pemerintah. Ted Koppel telah memperingatkan bahwa serangan IoT di jaringan listrik AS dapat menyebabkan pemadaman besar-besaran, dan ketika para peneliti di Israel mensimulasikan serangan terhadap "bola lampu pintar" untuk mengontrol lampu di blok perkantoran kota, ini menunjukkan bahwa ini bukan sekadar alarmisme. .

Bagi perusahaan, serangan semacam itu dapat menimbulkan ancaman eksistensial–penyedia DNS Dyn mengalami serangan DDoS yang mungkin menelan biaya 8% dari bisnisnya. Jadi, meskipun kita tentu dapat mengharapkan lebih banyak regulasi dan standar industri, organisasi harus mengambil langkah proaktif mereka sendiri untuk mengamankan sistem mereka.

Langkah yang harus diambil setiap perusahaan

Harus jelas bahwa pendekatan standar untuk mengamankan jaringan-patch, firewall, deteksi spyware, mendidik karyawan dan sebagainya-tidak akan cukup untuk membendung ancaman IoT. Kombinasi infrastruktur perangkat lunak dan perangkat yang digunakan dari jarak jauh menambah dimensi baru pada keamanan yang memerlukan cara berpikir baru.

Namun, ada beberapa langkah yang harus diambil perusahaan untuk memastikan bahwa mereka tidak hanya dapat mencegah serangan, tetapi juga mematuhi undang-undang yang akan datang:

• Enkripsi kunci pada setiap perangkat individual untuk kontrol lebih besar atas jaringan, karena setiap perangkat individual dapat dipantau dan dikelola (sebagai lawan dari gateway yang mengontrol area/wilayah tertentu)
• Gunakan hanya turunan kunci enkripsi untuk fungsi tertentu
• Putar kunci secara teratur sehingga meskipun perangkat disusupi, perangkat tersebut dapat digunakan oleh peretas hanya untuk jangka waktu yang singkat
• Pusatkan visibilitas dan kontrol atas sistem sehingga Anda dapat mengarantina dan menonaktifkan perangkat yang mencurigakan secara langsung
• Manfaatkan keamanan berbasis perangkat keras, atau perlindungan yang dihasilkan oleh perangkat fisik daripada perangkat lunak yang diinstal pada sistem komputer, sebuah taktik yang menurut analis Patrick Moorhead lebih aman daripada perangkat lunak karena tidak dapat diubah, dan mungkin mencegah malware menyusup ke sistem operasi dan lapisan virtualisasi

Menurut IDC , investasi IoT diperkirakan mencapai $1,4 triliun (€1,17 triliun) pada tahun 2021. Sistem IoT telah menggunakan sekitar dua puluh lima miliar perangkat secara online , dan menurut Hewlett Packard studi, 70 hingga 80% mungkin tidak memiliki enkripsi dan perlindungan kata sandi yang memadai.

Ini adalah target utama untuk beberapa jenis serangan cyber terburuk yang bisa dibayangkan, dan perusahaan perlu mengambil tindakan sekarang untuk memastikan bahwa mereka terlindungi. Namun, dengan pendekatan yang tepat, perusahaan dapat membangun jaringan IoT yang sangat aman, memastikan bahwa potensi ekonomi luar biasa yang ditawarkan oleh IoT membuahkan hasil.

Penulis blog ini adalah Amir Haleem, CEO Helium