New IoT security regulations : Apa yang perlu anda ketahui

New IoT security regulations: what you need to know

Angel Fernandez | January 30, 2020

(written with Lena Fuks)

Selama beberapa tahun terakhir, pasar Internet of Things (IoT) telah mengalami pertumbuhan yang eksplosif. Menurut Gartner , akan ada 25 miliar perangkat yang terhubung pada tahun 2021. Penelitian Statista menyarankan total basis terpasang perangkat cerdas, seperti TV pintar, kunci pintar, kamera IP, asisten rumah dan layanan terkait mereka, di rumah-rumah di seluruh dunia, akan mencapai 75 miliar unit pada akhir 2025, peningkatan lima kali lipat dalam sepuluh tahun. Peningkatan jumlah perangkat IoT ini secara dramatis meningkatkan titik vektor potensial untuk serangan siber dan menciptakan celah keamanan yang masif.
 
Tantangan yang kita semua hadapi adalah bahwa perangkat ini memiliki kontrol keamanan yang lemah atau tidak ada dan mewakili lanskap serangan yang tumbuh paling cepat untuk organisasi di seluruh dunia, dengan serangan naik 300% pada 2019 saja. Penjahat dunia maya mengeksploitasi banyak kerentanan di perangkat pintar dan sering menggunakannya untuk mendapatkan akses ke seluruh jaringan. Untuk memperkuat keamanan produk yang terhubung, pemerintah di seluruh dunia terus berupaya mengembangkan undang-undang baru.
 
Industri, secara umum, merasakan dorongan global untuk standar keamanan IoT yang kuat. Saat ini, Inggris dan Australia adalah pemimpin dunia dalam hal keamanan IoT, dengan kedua negara telah memberlakukan standar sukarela untuk perangkat IoT konsumen. Pada Januari 2020, di AS, California dan Oregon memperkenalkan undang-undang baru yang membutuhkan "fitur keamanan yang masuk akal" untuk ditambahkan ke perangkat IoT.
 
Mengatur IoT sangat menantang bagi semua orang yang terlibat - pihak berwenang, produsen, dan organisasi. Tujuannya adalah untuk lebih mengembangkan undang-undang yang secara efektif melindungi konsumen, dapat diimplementasikan oleh industri, dan mendukung pertumbuhan jangka panjang pasar IoT. Sejak kami mempublikasikan posting blog kami sebelumnya tentang peraturan IoT enam bulan lalu, ada banyak perkembangan menarik yang perlu ditelusuri.

Hukum keamanan IoT California

Pada September 2019, Gubernur California Jerry Brown menandatangani undang-undang undang-undang baru yang bertujuan mengatur keamanan perangkat IoT, yang mulai berlaku pada 1 Januari 2020. Undang-undang IoT California menetapkan persyaratan keamanan baru untuk teknologi Internet of Things dan seharusnya lebih baik mengatasi risiko yang ditimbulkan oleh peningkatan tingkat konektivitas ke tempat kerja. Ini adalah undang-undang keamanan spesifik-IoT pertama di Amerika Serikat dan, sederhananya, mengharuskan semua perangkat IoT yang dijual di California dilengkapi dengan langkah-langkah keamanan yang wajar.
 
Dokumen ini mendefinisikan perangkat yang terhubung sebagai "perangkat apa pun, atau objek fisik lain yang mampu terhubung ke Internet, secara langsung atau tidak langsung, dan yang ditetapkan sebagai alamat Protokol Internet atau alamat Bluetooth." Definisi ini dikritik oleh banyak orang sebagai "bermasalah" karena perangkat yang terhubung dapat mencakup apa pun dari komputer dan printer hingga termostat dan pelacak kebugaran pribadi karyawan.
 
Undang-undang mengharuskan produsen perangkat IoT untuk melengkapi setiap perangkat yang terhubung “dengan fitur atau fitur keamanan yang masuk akal” yang 1) sesuai dengan sifat dan fungsi perangkat; 2) sesuai dengan informasi yang dapat dikumpulkan, mengandung, atau mengirimkan perangkat; dan 3) dirancang untuk melindungi perangkat dan informasi apa pun yang dikandungnya dari akses, perusakan, penggunaan, modifikasi, atau pengungkapan yang tidak sah.
Definisi luas dari "fitur keamanan yang masuk akal" dapat menyulitkan organisasi untuk mematuhi persyaratan baru. Hukum IoT California adalah langkah pertama yang bagus untuk mengamankan perangkat IoT , tetapi pada akhirnya tidak memiliki instruksi spesifik yang sangat dibutuhkan industri.

Publikasi keamanan IoT NIST

Sejak merilis publikasi keamanan IoT pertamanya, NIST, Institut Nasional Standar dan Teknologi AS, laboratorium federal yang mengembangkan standar untuk teknologi baru, sedang mengerjakan aset baru dalam seri IoT. Baru-baru ini, pada Januari 2020, NIST menerbitkan draft laporan kedua "Rekomendasi untuk Pabrikan Perangkat IoT: Kegiatan Dasar dan Baseline Kemampuan Kemampuan Cybersecurity Perangkat Inti," yang menggantikan rancangan awal "Baseline Fitur Keamanan Cyber ​​Core untuk Perangkat IoT yang Aman." Kedua publikasi ini dibangun di atas " Pertimbangan untuk Mengelola Internet Cybersecurity dan Privasi Risiko NIST , " diterbitkan pada Juni, 2019.
 
Dokumen baru berisi fitur keamanan cybersecurity dasar yang dapat diterapkan oleh produsen IoT di perangkat mereka. Meskipun bukan seperangkat aturan yang harus mereka ikuti, publikasi NIST memberikan panduan berharga yang dimaksudkan untuk mempromosikan praktik terbaik untuk mengurangi risiko keamanan IoT. Komentar dari publik untuk draft baru diterima sampai 7 Februari 2020.

Hukum cybersecurity IoT baru di Inggris

Pada Januari 2020, pemerintah Inggris mengumumkan akan memperkenalkan persyaratan wajib baru untuk produsen perangkat IoT dalam upaya meningkatkan keamanan data konsumen. Tujuannya adalah memindahkan tanggung jawab dari konsumen untuk mengamankan perangkat mereka sendiri dengan memastikan keamanan cybersecurity yang kuat dibangun ke dalam produk-produk ini dengan desain.
 
Menurut undang-undang yang diusulkan, semua perangkat pintar konsumen yang dijual di Inggris harus mematuhi tingkat keamanan dasar. Ini mencakup tiga persyaratan utama: kata sandi untuk semua perangkat yang terhubung harus unik, pabrikan harus memberikan titik kontak publik untuk melaporkan kerentanan, dan periode minimum pembaruan keamanan harus ditentukan saat dijual.

Ini hanyalah permulaan

Para peneliti terus menemukan masalah keamanan dasar pada perangkat IoT yang ada di pasaran - mulai dari kata sandi standar pabrik hingga masalah privasi yang mengganggu. Perangkat IoT lebih rentan terhadap serangan cyber daripada teknologi tradisional karena mereka sering kekurangan kekuatan pemrosesan yang diperlukan untuk menjalankan bahkan perangkat lunak keamanan dasar.
Bahkan dengan adanya peraturan baru ini, keamanan akan terus menjadi perhatian nomor satu untuk bisnis apa pun yang menggunakan atau memperluas perangkat IoT di jaringan. Dengan tingkat keamanan dasar yang diamanatkan dalam peraturan, perangkat IoT mungkin akan terus menjadi merekrut yang mudah untuk botnet dan ancaman lain yang terus berkembang.
Selain itu, meskipun langkah ke arah yang benar, peraturan baru tampaknya tidak membahas masalah keamanan IoT penting lainnya, seperti pemboman perangkat yang diderita oleh lalu lintas yang tidak diminta dari perayap web dan bot lainnya, yang mengurangi masa pakai baterai, mengkonsumsi data terbatas rencana, dan menciptakan pertengkaran tagihan.
 
Sebagian besar, tampaknya peraturan baru berasal dari tempat yang baik. Pemerintah sedang melangkah untuk melindungi kami dari kerentanan terkait IoT baru. Tetapi, membutuhkan keamanan dasar pada perangkat IOT individu mungkin merupakan pendekatan yang salah arah. Lebih banyak yang perlu dilakukan oleh operator jaringan, yang memiliki kemampuan untuk menerapkan keamanan siber yang lebih canggih di tingkat jaringan dan solusi yang melampaui kinerja masing-masing perangkat untuk menangani Internet of Things dengan cara yang lebih holistik dan komprehensif.