Standar ETSI IoT:Apakah regulator melakukan cukup upaya untuk melindungi perangkat IoT?
Pengumuman standar baru untuk keamanan Internet of Things (IoT) oleh ETSI komite teknis pada bulan Juni 2020 sangat disambut baik di industri infosec. ETSI EN 303 645 menerapkan garis dasar keamanan untuk produk yang terhubung ke internet, dan menjabarkan 13 ketentuan yang menguraikan langkah-langkah yang dapat diambil produsen untuk mengamankan perangkat dan memastikan kepatuhan. Alan Grau, wakil presiden IoT dan solusi tersemat, Sectigo laporan.
Peraturan baru ini mengikuti tren yang berkembang dari pembuat undang-undang dan regulator yang menyadari masalah mendesak keamanan siber di Internet of Things. Mengikuti SB-327 California, yang mulai berlaku pada awal 2020, dan kerangka kerja “Draft Code of Practice:Mengamankan Internet of Things for Consumers” Australia 2019, menjadi jelas bahwa pemerintah dan badan internasional mulai menangani tantang langsung.
Ketika Inggris mengumumkan kerangka kerja IoT barunya pada Januari 2020, langkah tersebut melanjutkan argumen bahwa keamanan IoT tidak mencukupi selama bertahun-tahun, dan regulator siap untuk mengubahnya.
Namun, pertanyaannya tetap:apakah undang-undang dan standar ini cukup untuk mengatasi keamanan perangkat IoT?
Peran legislasi dalam mengamankan IoT
Selama bertahun-tahun, perangkat akan beroperasi di jaringan tertutup dan berpemilik, diamankan dengan perimeter yang dapat dipertahankan. Dengan munculnya internet, sistem ini menjadi semakin terhubung satu sama lain melalui TCP/IP. Manfaatnya telah banyak dibahas, dengan perangkat IoT menjadi bagian utama dari kehidupan konsumen serta jaringan perusahaan. Dan pertumbuhan mereka tetap tak terbendung:rumah analis IDC memperkirakan bahwa pada tahun 2025, akan ada 41,6 miliar perangkat IoT terhubung yang digunakan.
Namun, konsensus legislatif belum mampu mengimbangi pertumbuhan ini. Karena pasar telah berkembang, vendor dan produsen baru sering kali meremehkan pesaing dalam penetapan harga, untuk menciptakan penawaran pasar masuk yang populer dan dapat diakses. Memotong biaya dapat memberikan solusi ke pasar dengan cepat, tetapi terlalu sedikit yang menginvestasikan cukup waktu dan fokus organisasi untuk memasukkan tingkat otentikasi dan keamanan yang sesuai.
Dengan tidak adanya kerangka kerja legislatif IoT yang efektif, produsen telah menghabiskan waktu puluhan tahun untuk membuat perangkat dengan sedikit atau tanpa keamanan bawaan, dengan sering kali hanya kredensial statis sebagai penghalang bagi penjahat dunia maya. Kecuali keamanan menjadi mandat, produsen akan terus mengambil jalan pintas dengan mengorbankan keselamatan. Hanya undang-undang dan tata kelola menyeluruh yang dapat memastikan keamanan IoT diimplementasikan berdasarkan desain, pada titik pembuatan, dan di seluruh siklus hidup perangkat.
Langkah kecil menuju keamanan
Di satu sisi, sangat bagus untuk melihat langkah-langkah progresif yang dibuat untuk mengamankan perangkat IoT. Di sisi lain, jelas bahwa masih banyak perubahan yang harus dilakukan, dan konsensus yang lebih luas perlu dicapai.
Melihat AS misalnya, SB-327 menyusun kerangka kerja yang jelas bagi produsen untuk menggunakan alat keamanan dan otentikasi generasi berikutnya. Itu adalah langkah penting, dan dirancang untuk menargetkan botnet yang telah mengungkapkan kekurangan serius dalam praktik keamanan sebelumnya. Sayangnya, itu adalah undang-undang yang terisolasi, khusus untuk negara bagian California dan tidak mengikat secara nasional.
Melihat melalui lensa ETSI EN 303 645, kesimpulan serupa dapat dicapai. Ini adalah hasil kolaborasi antara tokoh-tokoh di industri, akademisi, dan pemerintah, namun standar baru ini tidak dapat ditegakkan dan mengikat secara hukum.
Meskipun ini menghadirkan satu target bagi produsen dan pemangku kepentingan IoT untuk bergerak, masih akan ada beberapa di industri yang cenderung menerapkan proses keamanan yang longgar, karena lebih murah dan seringkali hanya karena mereka bisa, tanpa dimintai pertanggungjawaban.
Penting untuk menciptakan standar berpikiran maju yang menjawab tantangan keamanan di seluruh IoT, tetapi ini perlu dilengkapi dengan agenda legislatif, yang memastikan produsen mematuhi kerangka kerja keamanan cyber saat membuat perangkat.
Mengapa built-in adalah yang terbaik
Jelas bahwa pemerintah dan badan industri perlu lebih aktif dalam menciptakan konsensus keamanan IoT, tetapi ada beberapa diskusi tentang praktik terbaik untuk mengamankan perangkat ini. Sesuatu yang sekarang umum diketahui adalah pentingnya keamanan built-in dan otentikasi PKI pada titik pembuatan. Dengan rantai pasokan yang semakin berbelit-belit, penekanannya adalah pada OEM untuk memastikan bahwa perangkat aman saat dibuat.
Untuk mengautentikasi dan mengenkripsi perangkat, PKI perlu dibangun sehingga tidak dapat dirusak lebih jauh di sepanjang rantai pasokan oleh pelaku kejahatan. Hanya jika chipset diautentikasi dan dilindungi oleh sertifikat dari tahap pembuatan pengecoran, chipset akan tetap aman di seluruh siklus hidup perangkat.
Rantai pasokan global – waktu untuk standar global?
IoT menghadirkan konektivitas yang tak tertandingi antara perangkat, orang, dan perusahaan, tetapi juga membawa risiko ke jaringan rumah dan bisnis. Pertumbuhan industri yang luar biasa telah memperumit proses manufaktur, sehingga sekarang perangkat dibuat di seluruh rantai pasokan yang sangat kompleks dan melintasi batas internasional.
Untuk mengatasi tantangan bermasalah ini, inilah saatnya bagi badan legislatif untuk bekerja sama, untuk menciptakan konsensus global yang melindungi perangkat di setiap tahap siklus hidupnya. Hanya dengan cara ini rantai pasokan dan produk akhir akan tetap aman, dan risiko terhadap properti, jiwa, dan keamanan data akan tetap terjaga.
Penulisnya adalah Alan Grau, wakil presiden IoT dan Solusi Tertanam, Sectigo.
