Після спілкування з бізнес-лідерами Мандіп Кера з Arxan переконаний, що Вашингтон має втрутитися зараз, щоб регулювати певні вертикалі IoT.
Регулювання Інтернету речей досі відбувалося на відносно випадковій основі: Федеральна торгова комісія (FTC) пішов після продуктів надзвичайно бракує безпеки. Управління з контролю за якістю харчових продуктів і медикаментів (FDA) випустило добровільні вказівки щодо безпеки медичних пристроїв. Кілька інших агенцій, як-от Національна безпека та Національні інститути стандартів і технологій, також опублікували рекомендації.
особливість
IoT: виклик безпеки
Інтернет речей створює серйозні нові ризики для безпеки. Ми вивчаємо можливості та небезпеки.
Читайте заразОднак ризики безпеки є обов'язково зростатиме, як і сам ринок IoT: очікується, що глобальні витрати на IoT досягнуть майже 1,29 трильйона доларів протягом наступних трьох років, прогнозує IDC. Ось чому настав час для федерального уряду встановити деякі жорсткі та швидкі правила, стверджує Мандіп Кера, директор з маркетингу фірми із захисту програм Arxan. Його досвід як в IoT, так і в безпеці переконав Керу, що Вашингтон може і повинен написати нові закони, що регулюють IoT, починаючи з деяких критичних вертикалей.
Коли нова адміністрація бере на себе керівництво, Кера поділився своїми думками про те, що буде далі.
Наступну розмову було відредаговано для стислості:
Чому вам цікаво бачити нові правила?
Я вже деякий час стежу за IoT. Я провів пару років у галузі Інтернету речей, перш ніж звернувся до безпеки з Arxan. IoT досить новий, він ще навіть не став мейнстрімом. Але одна річ, яка нас хвилює, це те, що, як і будь-яка нова технологія, люди в першу чергу зосереджуються на функціональності, тому безпека залишається на задньому плані. Протягом останніх кількох років люди як божевільні розгортають програми в IoT... і хакери зараз починають атакувати.
Коли я почав розмовляти з людьми — різними клієнтами, такими як головні офіцери безпеки та навіть команди продуктів — вони сказали, що справді немає жодних нормативних актів, які б змушували нас розглядати це. І це сумно, але факт: люди приділяють набагато більше уваги [безпеці], коли є регулювання, яке змушує їх це робити.
пов'язані: Компанії стурбовані зломами через мобільні пристрої та Інтернет речей, але не роблять багато, щоб зупинити їх
Як Вашингтон має вирішити цю проблему?
IoT — це така величезна революція, яка наближається і має стільки різних частин, що ви повинні дивитися на це вертикально. Є деякі вертикалі Інтернету речей, набагато більш схильні до атак і серйозніших наслідків, які більше потребують регулювання інші -- підключені медичні пристрої, такі як інсулінові помпи, вимірювачі артеріального тиску, які підключені та мають бути підключені безпечний. Якщо в нього проникне хакер, це може призвести до втрати життя пацієнта.
FDA вже займається цим. Кілька тижнів тому вони опублікували вказівки, зокрема сказавши, що ви повинні захистити код. Це все ще рекомендація – вона не є обов’язковою, але компанії, що займаються медичним обладнанням, з якими ми спілкуємося, докладають великих зусиль, щоб справді почати захищати ці пристрої.
Інше - підключені автомобілі... З точки зору кібертероризму, до 2020 року ми очікуємо чверть мільярда підключених автомобілів... Якщо хакери зможуть напасти на них, ви можете побачити якийсь кібертероризм, як машини, що врізаються одна в одну, проїжджаючи на червоне світло - хто знає. Наслідки величезні, тому ми починаємо спостерігати певні зрушення з боку регулювання.
Ці два є критично важливими з точки зору того, куди, на нашу думку, мають бути спрямовані правила. Якщо ви подивіться на решту - нафта і газ, виробничі процеси... домашня автоматизація, переносні пристрої, -- наслідки не такі серйозні.
Чи буде важко регулювати IoT, враховуючи, як швидко розвиваються технології?
Не думаю, що це буде важко, тому що є прецеденти. Якщо ви пам’ятаєте правила фінансової індустрії кілька років тому, GLBA [Закон Грамма-Ліча-Блілі 1999 року] – це стало нормою. Усі фінансові установи повинні забезпечити належну безпеку для мережі, веб-додатків тощо, щоб хакери не змогли отримати до них доступ і викрасти фінансову інформацію.
Тож нам не доведеться заново винаходити велосипед. Давайте подивимося на ті самі принципи, які ми використовували раніше, і переконаємося, що будь-хто, хто виробляє пристрої та програмне забезпечення Інтернету речей, є безпечними, перш ніж їх можна буде продати. Це не обов’язково має бути угода. Це можна зробити досить простим.
Причина положень не лише у створенні бюрократії. Я прямо запитав керівників: чи добре для вас регулювання, чи погано? І вони сказали, що добре, тому що це дає нам бюджет. Інакше їм буде важко звернутися до свого менеджера і сказати, що нам потрібно X доларів, щоб забезпечити ці речі... Ці хлопці відчувають, що їм потрібно забезпечити це, і їм потрібні для цього гроші.
Зараз ми маємо уряд, повністю очолюваний Республіканською партією, між Конгресом і Білим домом – що ви очікуєте від них побачити?
Це залежить. Очевидно, що Трамп виступає проти регулювання... Але я думаю, що в цьому випадку, якщо він розглядатиме це як проблему кібертероризму, я думаю, що це буде прийнято досить швидко. Але якщо він сприйме це як роздратування, а лобісти скажуть йому [це буде надто дорого], тоді він відштовхне це. Я відчуваю, що він сприйме це як перше.
Особливо з усіма хакерськими атаками, які відбулися під час виборів, я думаю, що це головне для багатьох людей.
Чи може Вашингтон ще щось зробити щодо безпеки IoT?
Положення — це добре, але чому б нам не створити податкові пільги для компаній, які добре працюють у сфері безпеки, щоб це дало їм позитивний стимул. Це підхід батога і пряника. У нас була палиця деякий час... але чому б нам не створити податкові пільги для компаній, які добре працюють? Було б цікаво побачити, чи зможемо ми розпочати рух ґрунту та підштовхнути цю справу.