Az amerikai szenátus egyhangúlag szavazta meg, már csak az elnöki szignóra vár, hogy jövőre életbe is léphessen.

Megszületett az első biztonsági törvény az Internet of Things témájában. Az Egyesült Államok Kongresszusa néhány napja megszavazta az a tervezetet, amely meghatározza az IoT-eszközökkel szembeni minimális biztonsági követelményeket. A hatályba lépéséhez azonban még szükség van az elnök aláírására.

Ez csak az első lépés

Mint azt a The Register is írja, ez csak az első lépés lehet. A példásan rövid törvényszöveg nem akar szakiskodni, az amerikai szabványügyi hivatalnak, a NIST-nek (National Institute of Standards and Technology) írja elő, hogy az dolgozzon ki egy keretrendszert az IoT-eszközök biztonságával kapcsolatos követelményekre. A jövőben állami hivatalok csak olyan vállalatoktól vásárolhatnának IoT-eszközöket, amelyek megfelelnek az új szabályoknak.

A törvényszöveg a szabvány megalkotásával kapcsolatban mindössze az alapelveket határozza meg. A négy terület, amit figyelembe kell venni a szabványnál, a biztonságos fejlesztés (megbízható kód), az azonosságkezelés biztonsága, a javíthatóság, azaz a rendszeres biztonsági frissítések kiadása, valamint a konfigurációmenedzsment. A tervezet azonban nem csak a beszerzést, hanem az IoT-rendszereket érő biztonsági incidensek közzétételét is előírja. Emellett az állami szereplőknek meg kell osztani a támadások elhárításának módját.

A szabályozás mögé az IT-biztonsági ipar és az IoT-piac fontos szereplői is felsorakoztak: többek között a Symantec, a Mozilla és a BSA The Software Alliance (amely maga is olyan piaci szereplőket képviselt ebben az ügyben, mint az Apple, a Microsoft, az IBM, Cloudflare vagy a vezeték nélküli megoldások szállítóit tömörítő CTIA). Az IoT-biztonság annak a néhány ügynek az egyike, amelynél mindkét oldal (törvényhozás és ipar) megmaradt a maga kompetenciájánál. A kongresszus nem akart iparági biztonsági standardokat meghatározni. A jogi keretet tartalommal megtölteni a szakma feladata lesz.

Ez a fogyasztói piacot egyelőre nem rázza megbízható

Az amerikai szabályozás, amely bár kellően rugalmas, sok ponton hiányos is, rövid távon nem fogja mélyen befolyásolni az IoT-eszközök fogyasztói piacát. Kimaradt például a szabályozásból, hogy a gyártóknak mikor és milyen módon kell biztonsági frissítéseket kiadni. A gyártók minden bizonnyal továbbra is létre fognak hozni olyan megoldásokat, amelyek a NIST kidolgozandó biztonsági standardjait semmibe veszik-vehetik – már csak amiatt is, mert e termékek egy részének az ára emiatt is tartható alacsonyan. Így az IoT továbbra is a kiberbiztonság egyik legneuralgikusabb pontja marad.

De az első lépés megvan, azaz ha valaki szeretne olyan IoT-eszközt, amely kiberbiztonsági szempontból is teljesíti a legfontosabb követelményeket, választhat olyan terméket, amely megfelel azoknak. Az amerikai szabályozást pedig nagy valószínűséggel követik más hasonló keretrendszerek is.

Ez a jogszabály abból a szempontból is érdekes, hogy egyhangúlag fogadták el az amerikai honatyák. Ha a jelenlegi elnök rövid időn belül aláírja a törvényt, jövő évtől már életbe is lép. Abból a szempontból is fontos a törvény, hogy leváltja az egyes államok szabályozását (az USA-ban többek között Kaliforniában és Oregonban is van IoT-biztonsági törvény).

Biztonság

A zsarolóprogramoktól félnek a legjobban a biztonsági vezetők

A ransomware támadások mára vezető IT-biztonsági kockázattá váltak, az idén várhatóan még tovább növekszik az incidensek száma és a célpontok köre is.
 
Jó hír: ehhez rendelkezésre állnak a megfelelő eszközök. Az általánossá váló távmunka még jobban ráirányította a figyelmet, hogy az adatok biztosítása nem csak a cloud szolgáltatók, hanem legalább akkora részben a megrendelők felelőssége is.
Nem általában a távmunkáé, hanem a mostani tipikus távmunka-helyzeteké. A szervezetek arra nem voltak felkészülve, hogy mindenki otthonról dolgozik.

Alapjaiban kell megújítani a biztonságról kialakított felfogásunkat

Tavaly január végétől megszűnt a Java SE 8 ingyenes frissítése, és a Java SE 11 sem használható ingyenesen üzleti célra. Tanácsok azoknak, akik még nem találtak megoldást. Hegedüs Tamás (IPR-Insights) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizenegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2021 Bitport.hu Média Kft. Minden jog fenntartva.