Apakah peraturan keamanan IoT terbaru memiliki jangkauan yang cukup?
Ada banyak peraturan di seluruh dunia saat pemerintah berupaya mengatasi keamanan IoT. Ini adalah langkah positif, menunjukkan pasar semakin matang tetapi mengatur ruang IoT bukan tanpa tantangan. Langkah seperti itu pasti mendapat perlawanan dari mereka yang menyarankan hal itu dapat menciptakan tumpukan limbah IoT, hingga yang lain yang mengatakan itu dapat menghambat inovasi.
Akibatnya, setiap bagian dari undang-undang sedikit berbeda. Namun bagaimana peraturan ini berjalan akan membentuk evolusi peraturan yang akan datang, sehingga penting bagi kami untuk mempertimbangkan langkah-langkah yang diambil, di mana mereka unggul dan di mana kekurangannya, kata Ken Munro, mitra, Mitra Uji Pena.
Undang-Undang Peningkatan Keamanan Siber IoT 2017 (AS): Ditujukan untuk mengendalikan IoT di dalam pemerintahan AS, Undang-Undang Peningkatan Keamanan Siber IoT dapat memiliki implikasi mendalam bagi pengembangan IoT. Perangkat tidak boleh menunjukkan kelemahan keamanan yang diketahui dalam database NIST, harus mendukung pembaruan, harus menggunakan kredensial tetap atau kode keras untuk admin jarak jauh, pembaruan dan komunikasi, dan kerentanan harus diungkapkan dan diperbaiki. Namun, membatasi kelemahan pada NIST dapat menyebabkan masalah umum yang tidak tercantum seperti injeksi SQL di aplikasi pelanggan diabaikan. Itu juga gagal untuk mengakui bahwa banyak protokol RF dirancang untuk tidak menggunakan kredensial sama sekali sehingga perangkat ini perlu dihapus atau ditingkatkan untuk mendukung protokol nirkabel yang lebih ketat. Undang-undang tersebut belum disahkan dan lainnya termasuk Undang-Undang IoT Cerdas, Undang-Undang DIGIT, Undang-Undang IoT Keamanan, Undang-Undang Perisai Cyber, dan Undang-Undang TIPS Konsumen IoT.
Undang-Undang Keamanan Siber (UE): Efektif mulai Mei 2018, undang-undang tersebut akan melihat Badan Uni Eropa untuk Jaringan dan Keamanan Informasi (ENISA) menjadi lembaga keamanan siber dan kerangka sertifikasi yang dibuat untuk mensertifikasi mobil yang terhubung dan produk pintar di semua negara anggota UE. Cybersecurity Act hanya akan diamanatkan untuk Infrastruktur Nasional Kritis. Produsen dapat meminta agar perangkat IoT mereka diklasifikasikan di bawah skema sertifikasi sebagai 'dasar', 'substansial', atau 'tinggi' tetapi sistemnya bersifat sukarela. Dalam upaya untuk menarik mereka, mereka yang pergi ke tingkat 'dasar' dapat "melakukan tes kesesuaian sendiri". Dokumentasi menyatakan ENISA akan memiliki kekuatan untuk "mengeluarkan peringatan yang menargetkan penyedia dan produsen untuk meningkatkan keamanan" tetapi tidak disebutkan bagaimana ini akan ditegakkan. Itu membuat ketentuan untuk keluhan, memungkinkan pelobi dan peneliti keamanan untuk melaporkan dan mengungkapkan secara bertanggung jawab di seluruh serikat pekerja.
SB-327 (AS): Disahkan pada Agustus 2018, SB-327 menjadikan California negara bagian AS pertama yang mengatur teknologi pintar. Ini mengamanatkan beberapa standar keamanan dasar untuk perangkat konsumen dan akan mulai berlaku mulai Januari 2020. Namun, kata-katanya tidak jelas mengacu pada keamanan "tepat" yang "dirancang untuk melindungi". Sebagian besar perangkat dapat mengklaim dimaksudkan untuk melindungi perangkat/data sehingga menghindari persyaratan. Itu membuat kata sandi unik wajib tetapi gagal mengatasi masalah apakah ada sumber entropi yang baik di perangkat. Pengecer juga dibebaskan, yang dapat melihat pasar ditabrak dengan teknologi yang tidak sesuai sebelum tahun 2020. Tidak ada persyaratan yang dinyatakan untuk perangkat ini untuk mendukung pembaruan.
Kode Praktik untuk Keamanan IoT Konsumen (Inggris Raya): Berdasarkan draft proposal Secure by Design yang diluncurkan pada bulan Maret, CoP yang dikeluarkan oleh Digital, Culture, Media and Sport (DCMS) sekarang menggabungkan General Data Protection Regulation (GDPR). Meskipun jangkauannya luas, memberikan pedoman untuk produsen, pengembang aplikasi seluler, penyedia layanan, dan pengecer, ini bersifat sukarela. CoP menyatakan kata sandi default tidak boleh digunakan, kredensial dan data sensitif keamanan harus disimpan dengan aman, dan perangkat lunak terus diperbarui. Namun, meskipun merekomendasikan penggunaan kebijakan pengungkapan kerentanan, itu tidak mengharuskan vendor untuk mengeluarkan perbaikan. Meskipun demikian, ini merupakan langkah maju yang sangat positif bagi keamanan IoT konsumen.
Yang jelas adalah pihak berwenang sangat mendukung pendekatan yang lembut dan lembut yang menimbulkan pertanyaan, apakah standar ini akan dipatuhi secara sukarela? Vendor IoT berada di bawah tekanan kuat untuk memasarkan produk mereka. Bagi mereka untuk mengadopsi segala bentuk peraturan dari punggung mereka sendiri akan membutuhkan keuntungan yang signifikan bagi mereka… atau akibatnya.
Di sinilah pasar itu sendiri dapat menerapkan lebih banyak tekanan. Berikan konsumen hak untuk mengembalikan barang pintar yang rentan untuk mendapatkan kredit dengan mencantumkan ini dalam undang-undang standar perdagangan. Dorong sektor ritel untuk berkomitmen untuk tidak menyimpan perangkat yang rentan. Produsen kemudian akan memiliki lebih banyak insentif untuk menyerah, mendaftar ke skema klasifikasi dan menguji perangkat mereka.
Saat ini, masih terlalu dini untuk mengatakan seberapa efektif pengaturan diri nantinya. Kita perlu membiarkan undang-undang itu turun dan memberi industri kesempatan untuk beradaptasi dengan apa yang bisa menjadi momen penting bagi IoT. Hanya dengan begitu kami dapat menilai di mana kami perlu menerapkan lebih banyak tindakan hukuman.
Penulis blog ini adalah Ken Munro, partner, Pen Test Partners. Dia secara teratur memberi pengarahan kepada departemen pemerintah Inggris Raya dan AS serta terlibat dengan berbagai dewan konsumen UE tentang regulasi IoT.
