Megszületett az első biztonsági törvény az Internet of Things témájában. Az Egyesült Államok Kongresszusa néhány napja megszavazta az a tervezetet, amely meghatározza az IoT-eszközökkel szembeni minimális biztonsági követelményeket. A hatályba lépéséhez azonban még szükség van az elnök aláírására.

Ez csak az első lépés

Mint azt a The Register is írja, ez csak az első lépés lehet. A példásan rövid törvényszöveg nem akar szakiskodni, az amerikai szabványügyi hivatalnak, a NIST-nek (National Institute of Standards and Technology) írja elő, hogy az dolgozzon ki egy keretrendszert az IoT-eszközök biztonságával kapcsolatos követelményekre. A jövőben állami hivatalok csak olyan vállalatoktól vásárolhatnának IoT-eszközöket, amelyek megfelelnek az új szabályoknak.

A törvényszöveg a szabvány megalkotásával kapcsolatban mindössze az alapelveket határozza meg. A négy terület, amit figyelembe kell venni a szabványnál, a biztonságos fejlesztés (megbízható kód), az azonosságkezelés biztonsága, a javíthatóság, azaz a rendszeres biztonsági frissítések kiadása, valamint a konfigurációmenedzsment. A tervezet azonban nem csak a beszerzést, hanem az IoT-rendszereket érő biztonsági incidensek közzétételét is előírja. Emellett az állami szereplőknek meg kell osztani a támadások elhárításának módját.

A szabályozás mögé az IT-biztonsági ipar és az IoT-piac fontos szereplői is felsorakoztak: többek között a Symantec, a Mozilla és a BSA The Software Alliance (amely maga is olyan piaci szereplőket képviselt ebben az ügyben, mint az Apple, a Microsoft, az IBM, Cloudflare vagy a vezeték nélküli megoldások szállítóit tömörítő CTIA). Az IoT-biztonság annak a néhány ügynek az egyike, amelynél mindkét oldal (törvényhozás és ipar) megmaradt a maga kompetenciájánál. A kongresszus nem akart iparági biztonsági standardokat meghatározni. A jogi keretet tartalommal megtölteni a szakma feladata lesz.

Ez a fogyasztói piacot egyelőre nem rázza megbízható

Az amerikai szabályozás, amely bár kellően rugalmas, sok ponton hiányos is, rövid távon nem fogja mélyen befolyásolni az IoT-eszközök fogyasztói piacát. Kimaradt például a szabályozásból, hogy a gyártóknak mikor és milyen módon kell biztonsági frissítéseket kiadni. A gyártók minden bizonnyal továbbra is létre fognak hozni olyan megoldásokat, amelyek a NIST kidolgozandó biztonsági standardjait semmibe veszik-vehetik – már csak amiatt is, mert e termékek egy részének az ára emiatt is tartható alacsonyan. Így az IoT továbbra is a kiberbiztonság egyik legneuralgikusabb pontja marad.

De az első lépés megvan, azaz ha valaki szeretne olyan IoT-eszközt, amely kiberbiztonsági szempontból is teljesíti a legfontosabb követelményeket, választhat olyan terméket, amely megfelel azoknak. Az amerikai szabályozást pedig nagy valószínűséggel követik más hasonló keretrendszerek is.

Ez a jogszabály abból a szempontból is érdekes, hogy egyhangúlag fogadták el az amerikai honatyák. Ha a jelenlegi elnök rövid időn belül aláírja a törvényt, jövő évtől már életbe is lép. Abból a szempontból is fontos a törvény, hogy leváltja az egyes államok szabályozását (az USA-ban többek között Kaliforniában és Oregonban is van IoT-biztonsági törvény).