Güvenlik uzmanlarının son zamanlarda IoT güvenlik standartlarını destekleyen düzenlemeler için Kongre'ye yaptıkları çağrılar kulak ardı edildi.
Resim: iStock
IoT (Nesnelerin İnterneti) cihazlarıyla ilgili yüksek profilli saldırıların sayısının artması, herkesi endişelendirmelidir. Saldırıların meydana gelmesinin büyük bir nedeni, IoT cihazları için uygun güvenlik standartlarının bulunmaması ile ilgilidir. Son zamanlarda bazı önde gelen uzmanlar Kongre'nin teknoloji tarafından değil hükümet tarafından yasalaşması gerektiğini söyledi endüstri.
Temsilciler Meclisi Enerji ve Ticaret Komitesi üyeleri, geçen ay DNS sağlayıcısı Dyn'e (yakın zamanda gerçekleştirilen) DDoS saldırısını tartışmak üzere bir araya geldi. Oracle tarafından satın alındı) ve Bruce Schneier gibi güvenlik uzmanlarından bilgi aldım.
Hazırlanan konuşmasında milletvekillerini derhal düzenleyici önlemler almaya çağırdı:
Suistimal edilen CCTV kameraları ve DVR'leri düzeltmenin bir yolu yok ve bu cihazlar onlarca yıl olmasa da yıllarca internette kalacak. Ek bir piyasa başarısızlığı nedeniyle kullanımda kalacaklar: Bu cihazların ne satıcısı ne de alıcısı güvenlik açığını düzeltmeyi umursamıyor. Bu cihazların sahiplerinin umrunda değil. Uygun fiyata güzel özelliklere sahip bir web kamerası, termostat veya buzdolabı istiyorlardı.
Bu botnet'e dahil edildikten sonra bile hala iyi çalışıyorlar; saldırıda kullanıldıklarını bile anlayamıyorsunuz. Bu cihazların satıcıları umursamıyor: Zaten daha yeni ve daha iyi modeller satmaya başladılar. Piyasaya yönelik bir çözüm yok çünkü güvensizlik öncelikle diğer insanları etkiliyor. Bu bir tür görünmez kirliliktir. Ve kirlilik gibi tek çözüm de düzenlemektir.
Hükümet, IoT üreticilerine minimum güvenlik standartları dayatabilir ve müşterileri umursamasa bile onları cihazlarını güvenli hale getirmeye zorlayabilir. Üreticilere sorumluluk yükleyebilirler ve Dyn gibi şirketlerin, cihazlarının DDoS saldırılarında kullanılması durumunda onlara dava açmasına olanak tanıyabilirler. Ayrıntıların dikkatli bir şekilde ele alınması gerekir, ancak bu seçeneklerden herhangi biri güvensizliğin maliyetini artıracak ve şirketlere, cihazlarını güvenli hale getirmek için para harcama konusunda teşvikler verecektir.
Ancak Kayıt raporları, Schneier'in sözleri sağır kulaklara ya da en azından siyasi sermayeyi Nesnelerin İnterneti güvenliğine harcamak konusunda isteksiz olanlara kulak asmıyor gibi görünüyordu:
Michael Burgess (R-TX) açılış konuşmasında güvenlik sorunlarına yanıtın "en iyi uygulamaları" geliştiriyordu ve hükümetin rolü "kamuoyunun anlamlı tepkisini" ortaya çıkarmaktı. endüstri."
Bob Latta (R-OH), "Hızla gelişen teknolojilere ayak uydurmak için IoT güvenlik yönergelerinin" olması gerektiğini belirtti ancak "gözetim ile düzenleme esnekliği arasında hassas bir denge" olduğunu ve "engellemeyen" en iyi uygulamaları geliştirmenin endüstriye düşmesi gerektiğini söyledi. yenilik."
Demokratlar bile hükümetin bu durumda doğrudan rol almasını önermekten kaçındı. Anna Eshoo (D-CA), IoT güvenlik sorununun "küresel bir sorun" olduğunu belirterek, Son saldırılara karışan cihazlar ABD'de bulunurken, "en savunmasız" ürünler ABD'de bulunuyordu. Çin. Bunun anlamı açıktı: Asıl sorun Çin iken yasa çıkarmanın ne anlamı var?
Analiz: IoT Güvenlik Bedelini Ödemenin Hiçbir Yolu Yok
Ayrıca bakınız
Tarih tekerrür ediyor: Nesnelerin İnterneti geçmişin güvenlik derslerini öğrenmede nasıl başarısız oluyor?
İnternetteki en popüler web sitelerinden bazılarını çökerten devasa siber saldırılar, cihaz üreticilerinin geçmişteki hatalardan ders almadığını gösteriyor.
Şimdi Oku"İnternet bir müşterektir ve hepimizin bunun bir parçası olması gerekiyor" diyor Constellation Research Başkan Yardımcısı ve baş analist Steve Wilson. "Kullanıcılara kendi bilgisayarlarını yamalı tutmalarını hatırlatmak, teknoloji şirketlerinin görevlerinden vazgeçmesidir. Yamalanması gereken bazı şeyler artık bilgisayar bile değil. İnsanların ekmek kızartma makinelerini bilgisayarmış gibi düşünmelerini sağlamak iğrenç bir şey. Bu şeylerin kutunun dışında güvenli olması gerekiyor."
Üstelik Wilson, "Ürün güvenliğinin piyasa güçlerine bırakılamayacağını kesinlikle biliyoruz" diye ekliyor. "Bu zorunlu kılınması gereken bir şey çünkü şirketlerin onları kendi hallerine bırakırsak doğru şeyi yapmayacaklarını biliyoruz. Gerçekten ihtiyacımız olan şey internetin Ralph Nader'ı."
Dyn'in altyapısına yapılan DDoS saldırısı, Amazon ve Twitter da dahil olmak üzere bazı büyük web sitelerinde kesintilere neden oldu. Wilson, hiç kimsenin fiziksel olarak yaralanmamasına rağmen, suç girişimi niyeti ve kalitesiz Nesnelerin İnterneti cihaz güvenliğinden oluşan ikiz kuvvetlerin, bunun gerçekleşeceği bir şekilde çarpışmasının an meselesi olduğunu söylüyor. "[IoT cihaz üreticilerinin] ayaklarını ateşe tutmalıyız" diyor. Üstelik "yazılım kalitesini amaca uygun hale getireceksek bunun geliştirme yaşam döngüleri ve maliyetleri üzerinde de etkisi olacaktır" diye ekliyor. "Bununla yüzleşmemiz gerekiyor."
Kongre üyelerinin geçen haftaki toplantı sırasındaki ataletinin bir nedeni, yeni gelen Donald Trump yönetiminin politika kararlarını çevreleyen bilinmeyenlere atfedilebilir. Ayrıca, görevden ayrılan Başkan Barack Obama yakın zamanda ülkenin ilk federal baş bilgi güvenliği yetkilisini atadı. Gregory Touhill, bu yetkinin kendisine verildiğini varsayarsak IoT güvenliğine yönelik daha agresif bir duruş sergileyebilir. Koz. Milyonlarca daha fazla IoT özellikli tüketici cihazının tatil sezonu boyunca aktif olacağı kesin olduğundan, güvenlik tehdidi düzeyi daha da artacak.
Takımyıldız Bilgileri tarafından aboneliğe dayalı bir çevrimiçi haber hizmetidir. Takımyıldız Araştırması. Insights, yeni kurulan şirketleri ve küresel işletmeleri etkileyen önemli sektör duyurularını ve gelişmeleri analiz ediyor. Constellation Insights hakkında daha fazla bilgi edinin.