Güvenlik, zayıf koruma mekanizmaları ve güvenlik açıkları nedeniyle defalarca saldırılara yenik düşen Nesnelerin İnterneti (IoT) söz konusu olduğunda tüketiciler için gerçek bir endişe kaynağıdır. Yine de satıcılar, 2018’de yayınlanan ve ETSI EN 303-645 uluslararası standardı ile uyumlu olan UK DCMS Secure by Design Davranış Kurallarında yer alan 13 yönergeyi uygulamakta yavaş kalıyor.
Alımı artırmaya yardımcı olmak için İngiltere Kültür, Medya ve Spor Bakanlığı, üreticileri müşterilere proaktif güvenlik uyumluluğu göstermeye teşvik edecek bir plan tasarlamak için sektöre bir ihale verdi. Sonuç, sektörü harekete geçmeye teşvik etmek amacıyla üç düzeyde uyumluluk – Temel, Gümüş ve Altın – sunan IASME planı oldu. Kriterleri karşılayanlar daha sonra ilgili rozeti ürünlerinde görüntüleyerek müşterilere güven verebilir. Ürün Güvenliği ve Telekomünikasyon Altyapısı (PSTI) Yasası kapsamında gelecek yıl getirilmesi beklenen mevzuatın önüne geçecek olan havuçtur.
sopa kaçının
Nesnelerin İnterneti’nin (IoT) güvenli tasarımına, bir yandan gigabit düzeyinde geniş bant ve diğer yandan 5G ağlarına odaklanan iki bölümden oluşan PSTI Tasarısı, üreticileri, ithalatçıları ve distribütörleri üç temel unsuru gözlemlemeye zorlayacak. tasarım çerçevesi ile güvenli. Varsayılan parolaları kullanmamalı, güvenlik açığı açıklamalarını devreye sokmamalı ve ürünün güvenlik güncellemeleriyle destekleneceği süreyi belirlememelidirler. Bunlar, Davranış Kuralları/ETSI EN 303-645’te yer alan en önemli üç güvenlik kontrolüdür ve zorunlu hale gelecek ve bu senaryoda Yasa Tasarısı çok önemli hale gelecektir.
IASME şeması, doğrudan her üç düzenlemeyle eşleştirilmiştir. Temel, ETSI standardının PSTI/ilk üç gereksinimiyle, Silver, ETSI zorunlu gereksinimleri ve veri koruma hükümleriyle ve Gold, yukarıdakilerin yanı sıra ek ETSI tarafından önerilen gereksinimler ve veri koruma hükümleriyle uyumludur. Bu, satıcıların düzenlemelere hazırlanmalarına yardımcı olmak için onu ideal bir araç haline getiriyor, ancak ne kadar iyi benimsendi?
Bugüne kadar, kayıt yaptırdığını gördüğümüz tüm katılımcılar, minimum minimumu yapmayı ve Temel kriterleri seçmeleri halinde gelecek gereksinimleri karşılayabilecek olmalarına rağmen Altın’a gittiler. Katılanların çoğu küresel markalar olsa da, daha küçük oyuncular bile en yüksek övgüyü almak için çabaladılar ve bu da katılanların kalabalık bir pazarda kendilerini bu şekilde farklılaştırmanın değerini anladıklarını gösteriyor.
Planın karşılandığı coşkunun bir diğer önemli nedeni, tamamlanmasının nispeten kolay olmasıdır. Süreç kendi kendine yönetilir ve satıcının başvurusunu tamamlamak için altı ayı vardır. Bir değerlendirici daha sonra satıcının taleplerini gözden geçirecek ve 24 saat içinde teslimi teorik olarak onaylayabilecektir. Ancak, elbette, alım isteğe bağlıdır; bu, bazı satıcıların yalnızca mecbur kaldıklarında PSTI kapsamındaki güvenlik taleplerine uyacağı anlamına gelir.
Yönetmeliklerin uygulanması
PSTI’nin nasıl ve hangi makam tarafından uygulanacağı henüz belli değil. Tasarı, Dışişleri Bakanına, ortaya çıkan Yasayı ve yönetmeliklerini uygulama ve bunları düzenleyici bir otoriteye devretme yetkileri veriyor ve beklentiler, bunun kontrolü altındaki Ürün Güvenliği ve Standartları Ofisine (OPSS) düşeceği yönünde. İş, Enerji ve Sanayi Stratejisi Departmanı (BEIS). GDPR kapsamında verilen yetkilere benzer şekilde, düzenleyici, hangisinin daha büyük olduğuna bağlı olarak, uyumsuz işletmelere 10 milyon £ veya dünya cirosunun %4’üne kadar para cezası verebilecek.
Bununla birlikte, IoT endüstrisi ile ilişkili dolambaçlı tedarik zincirleri nedeniyle uygulama hala oldukça karmaşık bir mesele olacaktır. Çoğu cihaz yurtdışında üretiliyor, bu da tedarikçilerini denetleme ve güvenlik gereksinimlerinin karşılanmasını sağlama görevinin ithalatçılara ve distribütörlere düşebileceği anlamına geliyor. İhlalde bulunurlarsa, zincirin daha aşağısındakileri dava etmeye çalışırken bazı dağınık yasal çekişmeler görebiliriz.
Bu aşamada, işlerin nasıl gelişeceğini bilmiyoruz, bu yüzden sektördekilerin şimdi sorumlu davranmaya çalışması ve gerekli özeni göstermesi mantıklı. Uluslararası operasyonları olanlar için, aynı güvenlik testini diğer pazarlarda da kullanabilirler çünkü IASME tarafından burada kullanıma sunulduğunu gördüğümüz rozet sistemi diğer ülkelerde de benimseniyor.
IoT uyumlaştırması
Örneğin ABD’de NIST, bir gözetmen atamayı beklemesine rağmen, benzer bir plan için zemin hazırlamakla görevlendirilmiştir. Şubat ayında duyurduğu Tüketici IoT için Siber Güvenlik Etiketleme Kriterlerinde, bir uygunluk beyanı, üçüncü taraf testi/denetim ve üçüncü taraf sertifikasyonu içerecek şekilde belirlenen bazı temel ilkeleri belirledi. İlginç olan, belgenin, uluslararası standartlar ve rehberlik analizinden IoT cihazları için siber güvenlik yeteneklerini temel alan bir dizi belge olan NISTIR 8259’a dayanmasıdır, bu nedenle IASME’nin diğerleriyle birlikte değerlendirilmesi zorunludur.
Ancak, IASME’den farklı olarak NIST, ‘sonuca dayalı’ bir değerlendirmenin benimsenmesini ve yalnızca tek bir seviye ‘onay mührü’ kullanılmasını tavsiye etmiştir. Daha fazla katmanın dahil edilip edilmeyeceğine henüz karar verilmedi ve programı ‘uyumlaştırma’ adına diğer uluslararası standartlarla uyumlu hale getirmek için de bir alan var. NIST yönergeleri, çok çeşitli IoT ürünlerinin ve kullanım durumlarının ihtiyaçlarını karşılamaya çalıştı ve tüm erkekler için her şey olmaya çalışırken soruyu soruyor, gücünü kaybedecek mi?
Büyüleyici olan, tüm bu girişimlerin IoT güvenliğinde yeni bir şafağın habercisi olabilmesidir. Sonunda, GRC’deki ISO’lara benzer bir küresel standardın ortaya çıktığını bile görebiliriz. Bunu zaman gösterecek ama bu arada mesaj açık. Oyunun önüne geçmek, operasyonlarınızı korumak ve düzenleyici ile biraz puan kazanmak istiyorsanız, bu şemaları benimseyin. Bugün uyumlu hale gelmek, işi gelecekteki risklere karşı sigortalamaya yardımcı olabilir ve o zaman gerçekleşecek herhangi bir yakınsamadan yararlanmanıza izin verebilir.
