Bezpieczeństwo w IoT - idą zmiany prawne

| Gospodarka Mikrokontrolery i IoT

Coraz więcej aplikacji IoT jest częścią infrastruktury krytycznej stąd bezpieczeństwo ich pracy w sensie cybernetycznym przyciąga coraz więcej uwagi, nie tylko projektantów i użytkowników, ale także organów państwowych, które są źródłem norm i standardów. Instytucje, takie jak NIST, ETSI i ISO, formułują wytyczne mające na celu zwiększenie bezpieczeństwa połączonych urządzeń, a niektóre ich propozycje przekształcają się w legislację. Trzy z najważniejszych regulacji prawnych które dotyczą IoT i pojawią się w tym roku, to odpowiednio - ustawa PSTI (UK), ustawa o odporności cybernetycznej (UE) i znak zaufania cybernetycznego (USA).

Bezpieczeństwo w IoT - idą zmiany prawne

Wielka Brytania

Brytyjska ustawa o bezpieczeństwie produktów i infrastrukturze telekomunikacyjnej (PSTI) wchodzi w życie 29 kwietnia 2024 r. Prawo to ma zastosowanie do wszystkich konsumenckich produktów IoT, w tym urządzeń takich, jak domowe systemy alarmowe, inteligentni asystenci, smartfony, kamery i sprzęt AGD. Nakłada ona na producentów urządzeń i sprzedawców obowiązek upewnienia się, że sprzedawane przez nich produkty są zgodne z m.in. następującymi wymaganiami:

  • urządzenia nie mogą mieć uniwersalnych domyślnych haseł;
  • producenci muszą mieć wdrożone zasady reagowania na ujawnione problemy związane z bezpieczeństwem i harmonogram, w którym będą one rozwiązane;
  • aktualizacje oprogramowania mają być tworzone i wydawane przez cały deklarowany okres jego użytkowania.

Unia Europejska

Unijna ustawa o odporności cybernetycznej (CRA) ma szerszy zakres od PSTI i jej celem jest zwiększenie bezpieczeństwa zarówno oprogramowania, jak i podłączanych do sieci urządzeń konsumenckich. Za brak zgodności będą oczywiście kary, przy czym za podmioty odpowiedzialne uznano nie tylko producentów, ale także dystrybutorów i importerów urządzeń.

Obowiązki producentów, to podejście "bezpieczne od samego początku", a więc sprzęt i oprogramowanie spełniające wymagania, potem dostarczanie aktualizacji i poprawek zabezpieczeń, a także obowiązek reagowania w ciągu 24 godzin na incydenty mające wpływ na bezpieczeństwo podłączonych urządzeń. Ustawa przyznaje też konsumentom aktywną rolę w wyborze produktów na podstawie ich poziomu cyberbezpieczeństwa, wymagając od producentów informowania o stosowanych zabezpieczeniach. CRA ma zostać przyjęta przez Parlament i Radę Europejską jeszcze w tym roku. Po wejściu jej w życie producenci, importerzy i dystrybutorzy sprzętu i oprogramowania będą mieli 36 miesięcy na dostosowanie się do nowych wymagań.

USA

Legislacja w Stanach Zjednoczonych to "Cyber Trust Mark", czyli program oznakowania, który umożliwia konsumentom podejmowanie świadomych decyzji dotyczących bezpieczeństwa ich urządzeń. Da on dostęp do historii działań producenta w zakresie cyberbezpieczeństwa, w tym jego zdolności reagowania na incydenty. Pozwoli na zapoznanie się z zastosowanymi środkami, takimi jak protokoły szyfrowania, bezpieczne procesy rozruchu i stała aktualizacja oprogramowania firmware. Producenci będą też przymuszeni do wypracowania zasad kontroli prywatności, w tym praktyk zarządzania danymi i celu ich gromadzenia oraz ujawnienia mechanizmów kontrolowania i udostępniania danych. Kolejnym znakiem będzie ocena strategii producenta w zakresie identyfikowania i rozwiązywania luk, wraz z jego reakcją na wydawanie terminowych i skutecznych poprawek bezpieczeństwa. Na razie oznakowanie CTM jest dobrowolne.