Czy wystarczy ustawa, by Internet Rzeczy stał się bezpieczniejszy

dodał 2 października 2018 o 20:33 w kategorii Prawo  z tagami:
Czy wystarczy ustawa, by Internet Rzeczy stał się bezpieczniejszy

W ubiegłym tygodniu gubernator Kalifornii Jerry Brown podpisał pierwszą w USA ustawę regulującą kwestie bezpieczeństwa urządzeń internetu rzeczy (IoT) obecnych na rynku. Problem zagrożeń z nimi związanych trzeba rozwiązać – ale czy tędy droga?

Urządzenia codziennego użytku podłączane do internetu, takie jak routery, kamery czy nagrywarki wideo, są łatwym celem włamywaczy. Trywialne błędy, domyślne hasła i brak aktualizacji bezpieczeństwa sprawiły, że tysiące sprzętów stały się skuteczną bronią w rękach przestępców, prowadzących ataki DDoS o niespotykanej wcześniej skali. Problem trzeba rozwiązać, a właśnie pojawiły się pierwsze próby zrobienia tego za pomocą ustawy.

Czym jest nowa ustawa?

Podpisana przez Browna ustawa nakazuje, aby każdy producent urządzeń IoT zapewnił, że mają one “odpowiednie” (w oryginale ang. reasonable) środki bezpieczeństwa, które będą chronić urządzenie i wszelkie informacje w nim zawarte przed nieuprawnionym dostępem, zniszczeniem, modyfikacją lub ujawnieniem.

Według nowego prawa każde urządzenie musi posiadać unikalne hasło lub też przy pierwszym połączeniu z internetem umożliwić użytkownikowi jego zmianę. W praktyce oznacza to tyle, że kupując telewizor, Amerykanie nie będą już mieli domyślnie ustawionego hasła typu 123456 lub 0000.

Ustawa nie określa jednak, jakie środki bezpieczeństwa producenci urządzeń IoT powinni wziąć pod uwagę, ani nie precyzuje, czym są ujęte w treści aktu zalecane najlepsze praktyki, których powinno się przestrzegać.

Eksperci studzą nastroje

Eksperci zajmujący się cyberbezpieczeństwem są podzieleni w kwestii oceny uchwalonej ustawy. Niektórzy z nich twierdzą, że nie rozwiązuje ona podstawowych problemów, które sprawiają, że urządzenia IoT są podatne na ataki. Podkreślają jednak, że nowe uregulowania mogą położyć podwaliny pod lepszą ustawę dotyczącą bezpieczeństwa IoT zarówno na poziomie stanowym, jak i ogólnokrajowym.

Jednym z największych krytyków ustawy jest ekspert ds. bezpieczeństwa Robert Graham, który wskazuje, że ustawodawcy za bardzo skupili się na dodawaniu nowych rozwiązań, ale nie usunęli złych, zostawiając tym samym otwartą furtkę dla hakerów. Graham pochwalił rozwiązania dotyczące zmiany hasła, ale jak zaznaczył, rozwiązanie to nie jest kompleksowe, gdyż nie obejmuje całego spektrum systemów uwierzytelniania, które można lub nie nazywać hasłami, co w jego opinii nadal może pozwolić producentom na pozostawienie luk w sprzedawanych produktach.

Kalifornijskie prawo, którego przestrzegać będą musieli producenci sprzętu, pomoże wszystkim – ocenia z kolei Bruce Schneier w rozmowie z dziennikiem „Washington Post”Według niego senacka ustawa jest dobrym punktem wyjścia, aby po jej uchwaleniu pracować nad nowymi rozwiązaniami prawnymi dotyczącymi IoT.

Jak zauważa cytowana przez portal Threatpost Ruth Artzi z firmy VDOO, ustawa będzie chroniła jedynie przed najbardziej podstawowymi, zautomatyzowanymi zagrożeniami. Wymóg “odpowiedniej” procedury bezpieczeństwa, zależny od charakteru i funkcji urządzenia, jest zbyt dwuznaczny (…) brakuje rzeczywistego mechanizmu weryfikacji, czy producent podjął “odpowiednie kroki” – podkreśla.

Powinny istnieć jasne standardy dla wszystkich komponentów urządzenia, które producent byłby w stanie prześledzić – ocenia Artzi, dodając, że trzeba również wypracować mechanizmu, który potwierdzi, że producenci zaprojektowali swoje urządzenia według najwyższych standardów bezpieczeństwa.

Sceptyczni względem nowego prawa są niektóre przedsiębiorstwa działające w branży IT. Amerykański związek California Manufacturers and Technology Association (w skład którego wchodzą m.in. Intel czy AT&T) wydał oświadczenie, w którym stwierdził, że USA narzuciły niezdefiniowane zasady i rzekomo stworzyły lukę, które pozwala importowanym do kraju urządzeniom ominąć nowe prawo.

Z kolei stowarzyszenie zrzeszające amerykańskich producentów gier komputerowych, Entertainment Software Association (ESA), oceniło, że istniejące prawo zapewnia rozsądną ochronę prywatności.

Przyszłość regulacji IoT w USA

Ustawa może być również asumptem do rozpoczęcia dyskusji na wysokim szczeblu między amerykańskim ministerstwem handlu a gigantami technologicznymi na temat federalnych regulacji prywatności. 

W amerykańskim Kongresie znajduje się już podobna ustawa autorstwa senatorów Marka Warnera i Cory Gardnera pod nazwą Internet of Things (IoT) Cybersecurity Improvement Actktóra – gdyby została uchwalona –  mogłaby wykorzystać olbrzymią siłę nabywczą rządu federalnego w celu zwiększenia bezpieczeństwa urządzeń IoT. Po jej wejściu w życie każda firma współpracująca z rządem federalnym USA musiałaby zapewnić, że jej urządzenia mogą być aktualizowane, mają hasło, które można zmienić i są wolne od wszelkich znanych luk w zabezpieczeniach.

Z kolei inna ustawa – Securing IoT Actnałożyłaby na Federalną Komisję Łączności (ang. Federal Communications Commission – FCC) obowiązek stworzenia standardów w zakresie bezpieczeństwa cybernetycznego, które posłużyłyby do certyfikowania urządzeń bezprzewodowych.

Jak wyglądają rozwiązania problemu IoT w Unii Europejskiej

Obecnie w Unii Europejskiej trwa debata nad kształtem ustawy, która m.in. dotyczyć będzie regulacji Internetu Rzeczy. Na początku czerwca bieżącego roku Rada Unii Europejskiej zapowiedziała, że stworzy nowy mechanizm, który mógłby być stosowany do certyfikowania takich produktów jak telewizory podłączone do internetu czy “inteligentne” wyroby medyczne. 

Podczas czerwcowego posiedzenia wypracowano nowe podejście do proponowanego aktu w sprawie cyberbezpieczeństwa. Zgodnie z nim – po uchwaleniu ustawy – agencja UE ds. Bezpieczeństwa Sieci i Informacji (ENISA) zostanie przekształcona w stałą unijną agencję ds. cyberbezpieczeństwa.

Nowe przepisy pozwolą również ENISA na uzyskanie stałego mandatu i jasnej roli, jaką pełni w strukturze UE. Obecnie agencja służy jako organ złożony z ekspertów, z którymi przeprowadza się konsultacje w kwestiach cyberbezpieczeństwa. Nowy akt przyznałby dodatkowo uprawnienia do wspierania zarówno państw członkowskich UE, jak i instytucji unijnych we wszystkich kwestiach cyberbezpieczeństwa, przeprowadzania ćwiczeń w zakresie bezpieczeństwa w cyberprzestrzeni oraz promocji polityki UE w dziedzinie certyfikacji bezpieczeństwa.

Kiedy nowe przepisy wejdą w życie?

Zanim akt wejdzie w życie i zacznie obowiązywać na terenie Unii Europejskiej, Rada UE oraz Parlament Europejski muszą się zgodzić co do jego ostatecznego kształtu. Przyjęte w czerwcu stanowisko będzie podstawą do negocjacji z Parlamentem. Należy się więc spodziewać, że cały proces może potrwać jeszcze kilkanaście miesięcy. A botnety IoT rosną w siłę…