Czy wystarczy ustawa, by Internet Rzeczy stał się bezpieczniejszy
W ubiegłym tygodniu gubernator Kalifornii Jerry Brown podpisał pierwszą w USA ustawę regulującą kwestie bezpieczeństwa urządzeń internetu rzeczy (IoT) obecnych na rynku. Problem zagrożeń z nimi związanych trzeba rozwiązać – ale czy tędy droga?
Urządzenia codziennego użytku podłączane do internetu, takie jak routery, kamery czy nagrywarki wideo, są łatwym celem włamywaczy. Trywialne błędy, domyślne hasła i brak aktualizacji bezpieczeństwa sprawiły, że tysiące sprzętów stały się skuteczną bronią w rękach przestępców, prowadzących ataki DDoS o niespotykanej wcześniej skali. Problem trzeba rozwiązać, a właśnie pojawiły się pierwsze próby zrobienia tego za pomocą ustawy.
Czym jest nowa ustawa?
Podpisana przez Browna ustawa nakazuje, aby każdy producent urządzeń IoT zapewnił, że mają one “odpowiednie” (w oryginale ang. reasonable) środki bezpieczeństwa, które będą chronić urządzenie i wszelkie informacje w nim zawarte przed nieuprawnionym dostępem, zniszczeniem, modyfikacją lub ujawnieniem.
Według nowego prawa każde urządzenie musi posiadać unikalne hasło lub też przy pierwszym połączeniu z internetem umożliwić użytkownikowi jego zmianę. W praktyce oznacza to tyle, że kupując telewizor, Amerykanie nie będą już mieli domyślnie ustawionego hasła typu 123456 lub 0000.
Ustawa nie określa jednak, jakie środki bezpieczeństwa producenci urządzeń IoT powinni wziąć pod uwagę, ani nie precyzuje, czym są ujęte w treści aktu zalecane najlepsze praktyki, których powinno się przestrzegać.
Eksperci studzą nastroje
Eksperci zajmujący się cyberbezpieczeństwem są podzieleni w kwestii oceny uchwalonej ustawy. Niektórzy z nich twierdzą, że nie rozwiązuje ona podstawowych problemów, które sprawiają, że urządzenia IoT są podatne na ataki. Podkreślają jednak, że nowe uregulowania mogą położyć podwaliny pod lepszą ustawę dotyczącą bezpieczeństwa IoT zarówno na poziomie stanowym, jak i ogólnokrajowym.
Jednym z największych krytyków ustawy jest ekspert ds. bezpieczeństwa Robert Graham, który wskazuje, że ustawodawcy za bardzo skupili się na dodawaniu nowych rozwiązań, ale nie usunęli złych, zostawiając tym samym otwartą furtkę dla hakerów. Graham pochwalił rozwiązania dotyczące zmiany hasła, ale jak zaznaczył, rozwiązanie to nie jest kompleksowe, gdyż nie obejmuje całego spektrum systemów uwierzytelniania, które można lub nie nazywać hasłami, co w jego opinii nadal może pozwolić producentom na pozostawienie luk w sprzedawanych produktach.
Kalifornijskie prawo, którego przestrzegać będą musieli producenci sprzętu, pomoże wszystkim – ocenia z kolei Bruce Schneier w rozmowie z dziennikiem „Washington Post”. Według niego senacka ustawa jest dobrym punktem wyjścia, aby po jej uchwaleniu pracować nad nowymi rozwiązaniami prawnymi dotyczącymi IoT.
Jak zauważa cytowana przez portal Threatpost Ruth Artzi z firmy VDOO, ustawa będzie chroniła jedynie przed najbardziej podstawowymi, zautomatyzowanymi zagrożeniami. Wymóg “odpowiedniej” procedury bezpieczeństwa, zależny od charakteru i funkcji urządzenia, jest zbyt dwuznaczny (…) brakuje rzeczywistego mechanizmu weryfikacji, czy producent podjął “odpowiednie kroki” – podkreśla.
Powinny istnieć jasne standardy dla wszystkich komponentów urządzenia, które producent byłby w stanie prześledzić – ocenia Artzi, dodając, że trzeba również wypracować mechanizmu, który potwierdzi, że producenci zaprojektowali swoje urządzenia według najwyższych standardów bezpieczeństwa.
Sceptyczni względem nowego prawa są niektóre przedsiębiorstwa działające w branży IT. Amerykański związek California Manufacturers and Technology Association (w skład którego wchodzą m.in. Intel czy AT&T) wydał oświadczenie, w którym stwierdził, że USA narzuciły niezdefiniowane zasady i rzekomo stworzyły lukę, które pozwala importowanym do kraju urządzeniom ominąć nowe prawo.
Z kolei stowarzyszenie zrzeszające amerykańskich producentów gier komputerowych, Entertainment Software Association (ESA), oceniło, że istniejące prawo zapewnia rozsądną ochronę prywatności.
Przyszłość regulacji IoT w USA
Ustawa może być również asumptem do rozpoczęcia dyskusji na wysokim szczeblu między amerykańskim ministerstwem handlu a gigantami technologicznymi na temat federalnych regulacji prywatności.
W amerykańskim Kongresie znajduje się już podobna ustawa autorstwa senatorów Marka Warnera i Cory Gardnera pod nazwą Internet of Things (IoT) Cybersecurity Improvement Act, która – gdyby została uchwalona – mogłaby wykorzystać olbrzymią siłę nabywczą rządu federalnego w celu zwiększenia bezpieczeństwa urządzeń IoT. Po jej wejściu w życie każda firma współpracująca z rządem federalnym USA musiałaby zapewnić, że jej urządzenia mogą być aktualizowane, mają hasło, które można zmienić i są wolne od wszelkich znanych luk w zabezpieczeniach.
Z kolei inna ustawa – Securing IoT Act – nałożyłaby na Federalną Komisję Łączności (ang. Federal Communications Commission – FCC) obowiązek stworzenia standardów w zakresie bezpieczeństwa cybernetycznego, które posłużyłyby do certyfikowania urządzeń bezprzewodowych.
Jak wyglądają rozwiązania problemu IoT w Unii Europejskiej
Obecnie w Unii Europejskiej trwa debata nad kształtem ustawy, która m.in. dotyczyć będzie regulacji Internetu Rzeczy. Na początku czerwca bieżącego roku Rada Unii Europejskiej zapowiedziała, że stworzy nowy mechanizm, który mógłby być stosowany do certyfikowania takich produktów jak telewizory podłączone do internetu czy “inteligentne” wyroby medyczne.
Podczas czerwcowego posiedzenia wypracowano nowe podejście do proponowanego aktu w sprawie cyberbezpieczeństwa. Zgodnie z nim – po uchwaleniu ustawy – agencja UE ds. Bezpieczeństwa Sieci i Informacji (ENISA) zostanie przekształcona w stałą unijną agencję ds. cyberbezpieczeństwa.
Nowe przepisy pozwolą również ENISA na uzyskanie stałego mandatu i jasnej roli, jaką pełni w strukturze UE. Obecnie agencja służy jako organ złożony z ekspertów, z którymi przeprowadza się konsultacje w kwestiach cyberbezpieczeństwa. Nowy akt przyznałby dodatkowo uprawnienia do wspierania zarówno państw członkowskich UE, jak i instytucji unijnych we wszystkich kwestiach cyberbezpieczeństwa, przeprowadzania ćwiczeń w zakresie bezpieczeństwa w cyberprzestrzeni oraz promocji polityki UE w dziedzinie certyfikacji bezpieczeństwa.
Kiedy nowe przepisy wejdą w życie?
Zanim akt wejdzie w życie i zacznie obowiązywać na terenie Unii Europejskiej, Rada UE oraz Parlament Europejski muszą się zgodzić co do jego ostatecznego kształtu. Przyjęte w czerwcu stanowisko będzie podstawą do negocjacji z Parlamentem. Należy się więc spodziewać, że cały proces może potrwać jeszcze kilkanaście miesięcy. A botnety IoT rosną w siłę…
Podobne wpisy
- Podstawy Bezpieczeństwa: Jak zadbać o bezpieczeństwo i prywatność na Discordzie
- 25 miejsc, gdzie warto czytać po polsku o bezpieczeństwie
- Nawet najlepszy administrator nie poradzi sobie bez odpowiednich narzędzi
- Podstawy Bezpieczeństwa: Prywatność i bezpieczeństwo na Instagramie
- Wszystko, co chcieliście wiedzieć o błędach SSRF, ale baliście się zapytać
„cały proces może potrwać jeszcze kilkanaście miesięcy”
Raczej potrwa dłużej…
Sama definicja IoT jest nieostra i dlatego trudno go będzie prawnie uregulować…
Jak wymusić na Chińczykach żeby ich tani, plastikowy IoT, sprzedawany w milionowych transzach i mający możliwość jakiejkolwiek komunikacji (stanowiącej zresztą jego istotę), zaczął być „bezpieczny” (czyli jaki)?
Amerykańskie przygłupy mogą sobie pisać ustawy, życie zweryfikuje ich skuteczność.
Minie co najmniej dekada, zanim nauczymy się skutecznie walczyć z zagrożeniami które przyniesie IoT.
Urządzenia powinny mieć „termin przydatności do użycia”. Przez dany czas producent musi oferować wsparcie, wydawać aktualizacje, itp. Po tym czasie albo wymiana na nowszy model, albo uwolnienie oprogramowania i możliwości samodzielnej aktualizacji.
Bo np. kupując dzisiaj telefon z androidem, to jest loteria, jak długo będą aktualizacje. A potem płacz, że stary system, że fragmentacja rynku, i że trzeba co chwila nowy kupować.
Po to (między innymi) pojawił się Android One – z góry wiadomo do kiedy ma wsparcie. A że ludziom generalnie w ogóle nie zależy (wręcz przeciwnie – „znowu jakieś wkurzające aktualizacje…”), to już zupełnie inna para kaloszy.
To kup sobie srrrajfona za 5000zl bez mozliwosci ładowania po wygaszeniubekranu
Ustawy działają tak samo jak zaklęcia, a ustawodawcy i urzędnicy przypominają ludzi parających się czarną magią i wierzący w te bzdety.
sugerujesz ze czarna magia to bzdura i wymysly dzieciakow czy sprawnych inaczej…?
ciekawe
gdyz jakos za duzo wiem w temacie (zlych przykladow, rowniez w rodzinie i znajomych) by stwierdzic ze to go…o nie dziala, a skoro jednak dziala (zazwyczaj zle lub bardzo zle) to ja bym tego jednak nie bagatelizowal…:D
Oczywiście, że można. Ustawa jest wszechpotężna. Mogli by na przykład znieść ubóstwo.
spokojnie, juz na to wpadni w niektorych krajach, wpadna i na zachodzie jak sie kapitalizm rozwinie na dobre i klasa srednia zniknie calkowicie. Sa o tym ksiazki i filmy swietnie ten mechanizm opisujace.