California
telah melewati keamanan perangkat SB-327 IoT. Ini mengharuskan pengembang sistem pintar untuk membuat pasangan nama pengguna / kata sandi yang unik untuk mereka. Dokumen sudah ditandatangani oleh gubernur negara bagian. Kami berbicara tentang pendapat masyarakat dan dampak undang-undang baru tersebut terhadap perkembangan industri.
/ Flickr / al raja / ccApa intinya
SB-327 , disebut Keamanan Informasi: Perangkat Terhubung, telah
dikembangkan oleh para senator California sejak Februari lalu. “Perangkat yang terhubung” dalam hal ini mengacu pada semua gadget yang memiliki koneksi Internet, alamat IP atau Bluetooth.
Senator Hannah-Beth Jackson, yang merupakan penulis RUU itu,
mengatakan undang-undang seperti itu seharusnya sudah ada sejak lama. Menurut dia, konsumen biasa jarang tertarik pada masalah keamanan gadget yang mereka beli, karena pengembang tidak terburu-buru untuk memperbaiki kerentanan keamanan.
Yang paling penting adalah masalah dalam hal mainan anak-anak. Sebagai contoh, sebagai tambahan pada RUU tersebut, para senator mengutip situasi dengan boneka My Friend Cayla (
Analisis Lantai Senat tertanggal 28/08/18 ). Mereka dapat berkomunikasi dengan anak-anak dan meneruskan catatan ke server pabrikan, misalnya, untuk menganalisis pertanyaan dan menemukan jawabannya. Ini menciptakan potensi kerentanan untuk data pribadi anak. Karena alasan ini,
penjualan boneka semacam itu umumnya
dilarang di Jerman.
Persyaratan utama undang
- undang California
adalah bahwa setiap produsen perangkat IoT harus menyediakan gadget mereka dengan "peralatan pelindung yang sesuai". Tingkat perlindungan tergantung pada fungsi perangkat dan informasi yang digunakan dan ditransmisikan.
Undang-undang tidak mengatakan apa yang dimaksud dengan "perlindungan yang tepat", tetapi persyaratan untuk mekanisme otentikasi dijabarkan. Jika perangkat yang terhubung memiliki akses Internet, maka sistem otentikasi harus memenuhi salah satu dari dua kriteria. Pertama, pabrikan itu sendiri membuat kombinasi unik dari login dan kata sandi untuk setiap perangkat. Yang kedua - pengembang mewajibkan pembeli untuk mengubah data pabrik standar untuk login saat menggunakan peralatan untuk pertama kalinya.
Undang-undang tersebut mencakup semua perusahaan yang memproduksi atau menjual perangkat IoT di California. SB-327 akan mulai berlaku pada 1 Januari 2020.
Pendapat tentang hukum
Undang-undang baru itu dipenuhi secara ambigu. Beberapa pengguna dan ahli sepakat bahwa larangan kata sandi standar setidaknya sedikit, tetapi akan meningkatkan keamanan perangkat IoT. Namun, kurangnya persyaratan spesifik lainnya untuk produsen membingungkan komunitas.
Pakar keamanan dunia maya telah mengesahkan undang-undang itu dengan skeptis. Salah satu kritik utama adalah Robert Graham, seorang pakar keamanan cyber di Errata Security. Robert
menulis bahwa kata-kata "solusi" terlalu kabur, sehingga akan sulit bagi organisasi untuk menentukan kriteria untuk memenuhi persyaratan tindakan.
Selain itu, dalam hukum tidak mungkin menentukan cara untuk menghadapi ancaman tertentu, karena jenis serangan baru muncul terus-menerus. Graham percaya bahwa cara untuk melindungi IoT tidak dapat didefinisikan dalam undang-undang, dan SB-327 hanya akan meningkatkan biaya pembuatan perangkat pintar.
Hukum juga tidak berguna menurut
pendapat Joe Lea, wakil presiden produk Armis. Perusahaannya menciptakan platform untuk melindungi jaringan IoT. Menurut Joe, keamanan Internet dari segala sesuatu adalah industri yang kompleks yang tidak terbatas pada masalah kata sandi untuk perangkat.
Sejumlah pakar keamanan informasi mendukung RUU yang baru. Salah satunya adalah Beau Woods, seorang spesialis keamanan di lembaga pemikir Dewan Atlantik. Menurutnya, kata-kata yang tidak jelas dalam undang-undang digunakan dengan sengaja. Ini akan memungkinkan perusahaan untuk secara independen mengembangkan persyaratan perlindungan perangkat.
Banyak ahli percaya bahwa bahkan hukum yang tidak sempurna lebih baik daripada tidak ada. Penulis cybersecurity dan cryptographer Bruce Schneier
mengatakan SB-327 adalah langkah ke arah yang benar, meskipun dokumen ini tidak cukup untuk mengatur IoT sepenuhnya.
“Undang-undang harus membantu memecahkan masalah akses tidak sah ke perangkat. Namun, ini bukan obat mujarab, ”komentar Sergey Belkin, kepala departemen pengembangan layanan penyewaan infrastruktur di cloud 1cloud.ru . - Kata sandi yang unik dan kuat harus mempersulit peretasan gadget pintar dengan bantuan pencarian kamus dangkal. Namun, ada banyak cara lain untuk mendapatkan akses ke perangkat, seperti mengikat kembali DNS . Jenis serangan ini memengaruhi lebih dari setengah miliar perangkat IoT di seluruh dunia. ”
Pengguna umumnya mendukung inisiatif pemerintah California. Warga Berita Peretas
mencatat bahwa kata sandi produsen mungkin terlalu mudah diprediksi dan cocok dengan nomor seri. Tetapi solusi ini lebih baik daripada kata sandi standar untuk semua perangkat dengan model yang sama.
Beberapa pengguna menemukan hukum tidak ada artinya. Seorang komentator di Slashdot
mengindikasikan bahwa masalah keamanan perangkat IoT yang paling sering tidak diselesaikan dengan mengubah kata sandi dan dikaitkan dengan kerentanan dalam firmware dan modul perangkat lunak. Misalnya, pada 2017, bug
ditemukan di pustaka gSOAP, yang digunakan oleh produsen perangkat IoT. Selama demonstrasi, para pakar keamanan membobol kamera rumah dan menerima gambar darinya.
Siapa lagi yang merancang undang-undang untuk IoT
Bukan hanya California yang bekerja untuk melindungi Internet dari berbagai hal. Selama tahun lalu, beberapa proyek tentang hal ini telah diajukan ke Kongres AS. Diantaranya adalah Securing IoT Act 2017 dan Internet of Things Cybersecurity Improvement Act 2017, yang mengharuskan lembaga federal untuk mengembangkan persyaratan keamanan standar untuk perangkat IoT.
Sebelum ini, pemerintah AS mengeluarkan pedoman untuk produsen perangkat pintar, yang mengumpulkan rekomendasi untuk melindungi data pribadi pengguna. Misalnya,
dokumen semacam itu diterbitkan pada tahun 2015 oleh Federal Trade Commission (FTC).
/ Flickr / coniferconifer / CCDi Eropa, ada juga dokumen serupa, khususnya,
arahan tentang keamanan jaringan dan sistem informasi (NIS Directive), diadopsi pada Juli 2016. Ini tidak berhubungan langsung dengan Internet, tetapi menetapkan persyaratan untuk melindungi sistem perusahaan di bidang-bidang penting: energi, keuangan, kesehatan, dan industri transportasi. Dokumen hanya berisi daftar aturan, dan setiap negara bagian Uni Eropa harus menentukan metode pelaksanaannya secara independen.
Undang-undang tentang perlindungan perangkat IoT juga
sedang dikembangkan oleh pemerintah Australia. Menurut politisi, mereka berupaya membuat dokumen seimbang yang akan melindungi konsumen dan tidak membatasi inovasi dalam IoT. Untuk melakukan ini, regulator berdialog dengan perwakilan industri. Sejauh ini, politisi hanya membahas persyaratan untuk produsen perangkat pintar.
Dengan demikian, hukum California adalah yang pertama untuk merumuskan persyaratan umum untuk semua produsen perangkat IoT. Dan meskipun tidak sempurna,
diyakini bahwa arahan akan menjadi panduan bagi negara lain dan akan mulai bekerja aktif pada keamanan gadget pintar.
Beberapa bahan segar dari blog perusahaan kami: