Nach Gesprächen mit Wirtschaftsführern ist Mandeep Khera von Arxan überzeugt, dass Washington jetzt eingreifen sollte, um bestimmte IoT-Vertikalen zu regulieren.
Die Regulierung des Internets der Dinge erfolgt bisher relativ ad hoc: Die Federal Trade Commission (FTC) hat dies getan nach Produkten gesucht eklatanter Mangel an Sicherheit. Die Food and Drug Administration (FDA) hat freiwillige Richtlinien zur Sicherung von Medizinprodukten herausgegeben. Einige andere Behörden wie Homeland Security und die National Institutes of Standards and Technology haben ebenfalls Richtlinien veröffentlicht.
Besonderheit
IoT: Die Sicherheitsherausforderung
Das Internet der Dinge schafft ernsthafte neue Sicherheitsrisiken. Wir prüfen die Möglichkeiten und die Gefahren.
Lies jetztEs bestehen jedoch Sicherheitsrisiken zwangsläufig wachsen, ebenso wie der IoT-Markt selbst: Die weltweiten IoT-Ausgaben werden voraussichtlich zunehmen fast 1,29 Billionen US-Dollar in den nächsten drei Jahren prognostiziert IDC. Deshalb ist es jetzt an der Zeit, dass die Bundesregierung einige feste Regeln aufstellt, argumentiert Mandeep Khera, CMO beim Anwendungsschutzunternehmen Arxan. Seine Erfahrung sowohl im Internet der Dinge als auch im Bereich Sicherheit hat Khera überzeugt, dass Washington neue Gesetze für das Internet der Dinge erlassen kann und sollte, beginnend mit einigen kritischen Branchen.
Während die neue Regierung die Führung übernimmt, äußerte Khera seine Gedanken darüber, was als nächstes kommt.
Die folgende Konversation wurde der Kürze halber bearbeitet:
Warum sind Sie an neuen Vorschriften interessiert?
Ich verfolge IoT schon seit einiger Zeit. Ich war ein paar Jahre in der IoT-Branche tätig, bevor ich mich bei Arxan der Sicherheitsseite zuwandte. IoT ist ziemlich neu, es hat sich noch nicht einmal ganz im Mainstream etabliert. Was uns jedoch beunruhigt, ist, dass sich die Menschen wie bei jeder neuen Technologie zunächst auf die Funktionalität konzentrieren, sodass die Sicherheit eher in den Hintergrund tritt. In den letzten Jahren haben Menschen im IoT wie verrückt Apps bereitgestellt... und Hacker beginnen jetzt anzugreifen.
Als ich anfing, mit Leuten zu sprechen – verschiedenen Kunden wie Sicherheitschefs und sogar Produktteams – sagten sie, dass es eigentlich keine Vorschriften gibt, die uns dazu zwingen, uns damit zu befassen. Und es ist traurig, aber wahr: Die Menschen schenken der Sicherheit viel mehr Aufmerksamkeit, wenn sie durch Vorschriften dazu gezwungen werden.
Verwandt: Unternehmen machen sich Sorgen über Hackerangriffe über Mobilgeräte und das Internet der Dinge – tun jedoch nicht viel, um sie zu stoppen
Wie sollte Washington diese Herausforderung angehen?
Das Internet der Dinge ist eine gewaltige Revolution, die auf uns zukommt und aus so vielen verschiedenen Teilen besteht, dass man sie vertikal betrachten muss. Es gibt einige IoT-Branchen, die weitaus anfälliger für Angriffe sind und schwerwiegendere Folgen haben und daher stärker reguliert werden müssen andere – vernetzte medizinische Geräte wie Insulinpumpen, Blutdruckmessgeräte, die vernetzt sind und vernetzt sein müssen sicher. Wenn ein Hacker eindringt, kann dies zum Verlust des Lebens eines Patienten führen.
Die FDA ist bereits dabei. Sie haben vor ein paar Wochen Richtlinien herausgegeben und ausdrücklich gesagt, dass man den Code sichern muss. Dies ist immer noch eine Richtlinie – sie ist nicht verpflichtend, aber die Medizingerätehersteller, mit denen wir sprechen, unternehmen große Anstrengungen, um wirklich mit der Sicherung dieser Geräte zu beginnen.
Das andere sind vernetzte Autos... Aus der Sicht des Cyberterrorismus erwarten wir, dass es bis 2020 eine Viertelmilliarde vernetzte Autos geben wird... Wenn Hacker das können Wenn man sie angreift, könnte man Cyberterrorismus sehen, wie Autos, die ineinander krachen, über rote Ampeln fahren – wer weiß. Die Auswirkungen sind enorm, daher sehen wir hier allmählich Bewegung auf der Regulierungsseite.
Diese beiden sind von entscheidender Bedeutung für die Frage, wohin die Vorschriften unserer Meinung nach kommen sollten. Wenn Sie sich den Rest ansehen – Öl und Gas, Herstellungsprozesse … Hausautomation, Wearables – die Folgen sind nicht so gravierend.
Wird es angesichts des schnellen technologischen Fortschritts schwierig sein, das Internet der Dinge zu regulieren?
Ich glaube nicht, dass es schwierig sein wird, denn es gibt Präzedenzfälle. Wenn Sie sich an die Vorschriften für die Finanzbranche vor ein paar Jahren erinnern, den GLBA [Gramm-Leach-Bliley Act von 1999] – das ist zur Norm geworden. Alle Finanzinstitute müssen sicherstellen, dass ihre Netzwerke, Webanwendungen usw. ordnungsgemäß geschützt sind, damit Hacker nicht darauf zugreifen und Finanzinformationen stehlen können.
Es ist also nicht so, dass wir das Rad neu erfinden müssen. Schauen wir uns die gleichen Prinzipien an, die wir zuvor verwendet haben, und stellen wir sicher, dass jeder, der IoT-Geräte und -Software herstellt, all diese Dinge sicher ist, bevor sie sie verkaufen kann. Es muss kein Deal sein. Es könnte ziemlich einfach gehalten werden.
Der Grund für die Regelungen ist nicht nur die Schaffung von Bürokratie. Ich habe Führungskräfte direkt gefragt: Ist Regulierung gut oder schlecht für Sie? Und sie sagten: „Gut, weil es uns das Budget gibt.“ Andernfalls fällt es ihnen schwer, zu ihrem Manager zu gehen und zu sagen, dass wir X Dollar brauchen, um diese Dinge zu sichern... Diese Leute haben das Gefühl, sie müssten es sichern, und sie brauchen Geld dafür.
Wir haben jetzt eine vollständig von der Republikanischen Partei geführte Regierung zwischen Kongress und Weißem Haus – was erwarten Sie von ihnen?
Es kommt darauf an. Offensichtlich ist Trump ein Anti-Regulierungs-Gegner... Aber ich denke, wenn er dies in diesem Fall als ein Cyber-Terrorismus-Problem ansieht, wird es meiner Meinung nach ziemlich schnell gelöst werden. Aber wenn er es als Ärgernis empfindet und Lobbyisten ihm sagen, dass es zu kostspielig sein wird, dann wird er es verdrängen. Ich habe das Gefühl, dass er es als ersteres ansehen wird.
Vor allem angesichts all der Hackerangriffe, die während der Wahlen stattgefunden haben, denke ich, dass es vielen Menschen am Herzen liegt.
Kann Washington sonst noch etwas für die IoT-Sicherheit tun?
Vorschriften sind in Ordnung, aber warum schaffen wir nicht Steuererleichterungen für Unternehmen, die gute Arbeit im Bereich Sicherheit leisten, damit sie einen positiven Anreiz erhalten? Es ist ein Ansatz mit Zuckerbrot und Peitsche. Wir haben den Stick schon eine Weile... Aber warum schaffen wir nicht Steuererleichterungen für Unternehmen, die gute Arbeit leisten? Es wäre interessant zu sehen, ob wir eine Groundswell-Bewegung starten und diese Sache vorantreiben könnten.