Er du klar for Storbritannias nye IoT-sikkerhetslov?

Er du klar for Storbritannias nye IoT Security Act?

By Phil Muncaster • 23. januar 2024 • 6 minutters lesetid

Det britiske markedet for tilkoblede teknologier har blitt oversvømmet med usikre sett i årevis. Det er dårlige nyheter for forbrukere og bedrifter, siden kompromitterte enheter kan brukes til å starte angrep mot begge, samtidig som markedets tillit til ny teknologi undergraves. Med den gjennomsnittlige briten nå tilgang mer enn ni tilkoblede enheter, har regjeringen for sent innført lovgivning for å forbedre grunnleggende sikkerhetsstandarder. Den trådte i kraft i desember 2023.

Selv om den ikke er perfekt Lov om produktsikkerhet og telekommunikasjonsinfrastruktur (PSTI) 2022 lover å være starten på et strengere overholdelsesregime for produsenter, distributører og importører av smarte produkter.

Hvorfor trenger vi PSTI-loven?

IoT-risiko begynte ikke med Mirai, men det var den første store trusselen som avslørte sårbarhetene som ligger i tilkoblede teknologier. Trusselaktører brukte den eponyme skadevare for å lete etter tilkoblede IoT-enheter som fortsatt brukte standard brukernavn og passord de forlot fabrikken med. Den ville deretter logge på dem for å fjernkapre endepunktene for å bygge et botnett for DDoS, klikksvindel, spamkampanjer og andre trusler.

Et annet vanlig problem i både bedrifts- og forbrukerklassifiserte IoT-sett er sårbarheter i selve fastvaren, som kan utnyttes av trusselaktører. En fersk studie utført av IoT Security Foundation (IoTSF) fant det bare 27 % av 332 anerkjente IoT-produsenter kjører til og med programmer for avsløring av sårbarheter. Berørte produkter kan variere fra nettverksrutere til medisinsk utstyr og DVR-er til babymonitorer.

Hva står i PSTI-loven?

Det er her PSTI-loven kommer inn. Det er faktisk to lovverk i ett, men det er første halvdel, om «produktsikkerhet», som vi er interessert i. Målet er enkelt: å lage IoT i forbrukerkvalitet sett som selges i Storbritannia sikrere som standard. Den krever at produsenter, distributører og importører følger strenge regler for IoT-produkter. Inkluderingen av de to sistnevnte enhetene er ment å sikre at organisasjoner ikke bare kan omgå reglene ved å importere usikre produkter fra utlandet.

Så hva krever det? Bygger på ETSI EN 303 645 (5.1 til 5.3) standarden og, for sikkerhetsrapportering, ISO/IEC 29147, er det tre nøkkelelementer:

passord:

Må være unikt for hvert produkt eller definert av brukeren. Fabrikkbestemte passord må ikke være enkle å gjette eller regne opp.

Avsløring av sårbarhet:

Det må være minst ett kontaktpunkt hos produsenten/distributøren/importøren, og når de mottar en sikkerhetsrapport, må de bekrefte det og sende oppdateringer til en løsning er oppnådd.

Minimum sikkerhetsoppdateringsperiode:

Informasjon skal publiseres om oppdateringsperioden. Det er ikke noe oppgitt minimum, kun at det skal publiseres. Det står også at perioden ikke kan kortes ned, men den kan forlenges.

IoTSFs administrerende direktør John Moor sier til ISMS.online at disse kravene delvis er tekniske og delvis prosessbaserte.

"Produsenter må designe produkter som har unike og sterke passord "ut av esken", og brukere bør kunne endre disse. Dette har klare implikasjoner for hvordan produktene utformes. Det andre kravet er et forsøk på å sikre at sikkerheten opprettholdes – at kjente sårbarheter kan fikses i felt eller, i ekstreme situasjoner, tilbakekalles. Dette betyr at alle selskaper er pålagt å ha en prosess der 'forskere' eller lekmenn kan kontakte leverandøren og rapportere sikkerhetsproblemer, legger han til.

«Det tredje kravet er å informere forbrukeren om hva som kan forventes av sikkerhetsvedlikehold – dette har også en implikasjon for designfasen – hvordan vil sikkerhetsoppdateringer aktiveres? Hva er prosessen for masseoppdateringer?"

Organisasjoner som bryter loven kan bli bøtelagt med opptil 10 millioner pund eller 4 % av deres globale årlige inntekter, avhengig av hva som er høyest. PSTI-loven gir også statssekretæren makt til å utstede stopp- og tilbakekallingsmeldinger.

Hvordan stemmer det med det europeiske regimet?

Det tilsvarende regimet i EU er Lov om cyberresiliens (CRA), som fortsatt jobber seg gjennom blokkens lovgivende institusjoner. Det ser ut til å sette en høyere bar når det gjelder IoT-sikkerhet, produseres obligatoriske IoT-produkter med en sikker-ved-standard-konfigurasjon, uten utnyttbare sårbarheter, og har passende autentiseringsmekanismer samt datakryptering, hvis relevant. Risiko- og samsvarsvurderinger vil også være nødvendig mens de ikke er i Storbritannia.

For de organisasjonene som opererer i Storbritannia og EU, bør overholdelse ikke være vanskelig så lenge de holder seg til det mer strenge EU-regimet.

"Heldigvis har det vært en pågående dialog med britiske myndigheter og deres respektive motparter i EU. Så vidt vi vet, vil selskaper være i stand til å samkjøre Storbritannias og EUs krav uten betydelige overhead, sier Moor.

"Tidling 4 angir minimumsmengden informasjon som kreves for å bli oppgitt i en samsvarserklæring. Produsenter må oppgi en minimumsmengde informasjon på samsvarserklæringen og en signatur for å gjøre samsvarserklæringen offisiell. En kopi av erklæringen må oppbevares i minst 10 år."

Den britiske PSTI-loven trer i kraft i april 2024, mens CRA sannsynligvis ikke vil lande før sent i 2025, noe som betyr at produsenter og importører har mer tid til å forberede seg, forteller Bridewells hovedkonsulent Alan Blackwell til ISMS.online.

Går det langt nok?

Det er fortsatt en viss debatt om hvorvidt PSTI-loven er en savnet mulighet til å innføre en høyere bar for IoT-sikkerhet. Blackwell forklarer at den trekker fra både ETSI EN 303 645 og en britisk anbefaling for IoT-sikkerhet for forbrukere, som ble publisert tilbake i 2018.

"Men bare de tre øverste [ETSI]-kravene, av totalt 13, har kommet inn i den første versjonen av regelverket. For eksempel er en av de nåværende utelatelsene behovet for å tilby sikker kommunikasjon over internett, legger han til. "Over tid håper vi å se loven bygge på de tre første kravene for å inkludere noen flere fra UK Code of Practice og ETSI."

IoTSFs maur er enig, og beskriver loven som et "nødvendig første skritt" som vil gi et grunnlag å bygge videre på.

"Regulering er en fin balansegang mellom å nå sine uttalte mål og unngå utilsiktede konsekvenser - i dette tilfellet, ikke å kvele innovasjon," argumenterer han. "Tilnærmingen den britiske regjeringen har gjort er fornuftig - den setter et minimumsnivå av krav og vil utvikle disse over tid etter behov."

Bridewells Blackwell hevder at håndhevelse av loven til slutt vil avgjøre hvor effektiv den er for å forbedre grunnsikkerheten i bransjen.

"Vi forventer at reguleringen vil starte med en lett berøring til å begynne med mens produsenter, distributører og importører ordner seg. Men tradisjonelt, med denne typen cybersikkerhetsreguleringer, ser vi at håndhevelsestiltak fra regulatoren begynner å øke etter noen år, avslutter han.

Likevel, med PSTI-loven som nå er i kraft, bør organisasjoner ikke kaste bort tid på å gjøre de nødvendige tekniske og prosessendringer som er nødvendige for å overholde.