Zephyrnet Logosu

Üretken Veri Zekası

büyük Veri

IEC 62443 ve Diğer Mevzuat Gereksinimleri IoT Güvenliğini Etkinleştirmeye Nasıl Yardımcı Olur?

Plato tarafından yeniden yayınlandı
Plato tarafından yeniden yayınlandı

Tarih:

Görüntüleme: 171

ABD Hükümeti Sorumluluk Ofisi'nin uyardığı gibi, “İnternete bağlı teknolojiler hizmetleri iyileştirebilir ancak siber saldırı riskleriyle karşı karşıyadır.” IoT cihazlarının ve operasyonel teknolojinin (OT) kullanımı, bir kuruluşun kritik altyapısını bilgisayar korsanlarına ve diğer tehdit aktörlerine açık hale getirebilecek yeni saldırı yüzeyleri oluşturur.

Diğerlerinin yanı sıra erişim cihazları, kimlik kartı okuyucuları, yakıt kullanımı ve rota monitörleri (araç filoları için) ve kurumsal BT altyapısına bağlanan uygulamalar, bilgisayar korsanları tarafından yalnızca cihazların değil tüm ağın güvenliğinin tehlikeye atılması için hedeflenebilir. Daha da kötüsü, enerji üretim istasyonlarında, üretim hatlarında, tıbbi tesislerde ve diğer kritik altyapılarda kullanılan IoT ve OT sistemlerine yapılan saldırılar, fiili can kayıpları da dahil olmak üzere ciddi veya trajik sonuçlara yol açabilir.

Yaygın kullanıma giren diğer pek çok şey gibi, düzenleme de IoT ürünlerine sızmaya başladı. 13 milyarı aşkın IOT cihazları Dünya çapında güvenliklerini sağlamak için çaba gösterilmesi şaşırtıcı değil. IoT ve OT güvenliğini sağlamak için uygulanan bazı önemli yasal ve düzenleyici gerekliliklerin bir özetini burada bulabilirsiniz.

IEC 62443

IEC 62443 veya Uluslararası Elektroteknik Komisyonu standardı 62443, otomasyon ve kontrol sistemlerinde operasyonel teknolojiyi içeren siber risklere karşı koymak için oluşturulmuş bir dizi standarttır. Operatörler, hizmet sağlayıcılar ve bileşen/sistem üreticileri gibi farklı kategoriler veya roller için standartlar ortaya koyar.

2021 yılında tanıtıldı, IEC 62443, görevleri ve uygulamaları sunar Siber riskleri tanımlamayı ve en iyi savunma veya karşı saldırı önlemlerini belirlemeyi amaçlamaktadır. Kuruluşların aşağıdaki temel unsurları içeren bir siber güvenlik yönetim sistemi (CSMS) oluşturmasını gerektirir: ilk risk değerlendirmesi ve önceliklendirme, teknik risk değerlendirmesi, güvenlik politikası oluşturma, karşı önlem tanımlama ve uygulama ve CSMS bakımı.

IEC 62443, özel olarak IoT cihazlarını hedeflemez ancak alt standartlarından ikisi, IoT ve OT kullanımıyla oldukça ilgilidir. Özellikle IEC 62443-4-1 ve IEC 62443-4-2, IoT ürün üreticilerinin güvenli bir ürün geliştirme yaşam döngüsü sağlamasını ve güvenli kullanıcı tanımlama ve kimlik doğrulamasını, ürün kullanımını, sistem bütünlüğünü, verileri garanti eden teknik sistem bileşenlerine sahip olmasını gerektirir. gizlilik, veri akışı düzenlemesi, güvenlik olayına zamanında müdahale ve kaynak kullanılabilirliği.

Bireysel IoT cihazları için siber koruma kurmanın uygun olmadığı göz önüne alındığında, IoT cihazlarının düzgün bir şekilde güvenliğini sağlamak karmaşık ve zor bir süreçtir. Ancak IEC 62443 gibi küresel güvenlik standartları, IoT'nin üretimi, dağıtımı ve kullanımında yer alan üreticileri ve diğerlerini risk ve tehditlerin ele alınmasında rol oynamaya zorlamaktadır.

2020 IoT Siber Güvenliği İyileştirme Yasası

The 2020 IoT Siber Güvenliği İyileştirme Yasası Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) ile Yönetim ve Bütçe Ofisi'ne (OMB) IoT güvenliğini geliştiren adımlar atmasını zorunlu kılan bir yasadır. NIST'in federal devlet dairelerinde ve bağlı kurumlarda IoT cihazlarının güvenli kullanımını ve yönetimini sağlamak için yönergeler ve standartlar oluşturmasını gerektirir. Öte yandan yasa, OMB'ye federal kurumların BT güvenlik politikalarını ve ilkelerini NIST tarafından belirlenen standartlar ve yönergeler doğrultusunda incelemesini emrediyor.

NIST'in IoT güvenlik yasasına yanıt olarak geliştirdiği kaynakları sunan bir web sitesi bulunmaktadır. Bu kaynaklar arasında IoT üreticileri için güvenlik bilgileri ve rehberlik sağlayan NISTIR 8259; Federal kurumlara yönelik bilgileri ve tüketicilere yönelik IoT güvenliğine ilişkin bilgileri içeren SP 800-213 serisi.

2020 IoT Siber Güvenliği İyileştirme Yasası tarafından belirlenen gereksinimler yalnızca federal ofisler veya kurumlar için geçerli olsa da, bunların özel sektörde de benzer IoT güvenlik önlemlerinin benimsenmesinin önünü açması bekleniyor. Sonuçta, IoT cihaz üreticileri halihazırda devlet müşterileri için güvenli ürünler üretiyorsa, diğer müşterilere sattıkları ürünler için de aynı siber korumaları benimsememeleri için hiçbir neden yok.

AB IoT Siber Güvenlik mevzuatı (önerilen)

Avrupa Birliği henüz ABD Nesnelerin İnterneti siber güvenlik yasasının kendi versiyonuna sahip değil, ancak zaten var biri iş başında. Önerilen bu IoT güvenlik mevzuatı, bağımsız bir yasa tasarısı değil, Avrupa Birliği'nin tamamını kapsayan ve cihaz üreticilerine kurallar empoze eden ilk yasa olan AB Siber Dayanıklılık Yasası'nın bir parçasıdır.

Yasanın yürürlüğe girmesiyle birlikte şirketlerin, uyumlarının kanıtı niteliğinde zorunlu sertifikalar almaları gerekecek. Mevzuat, gereklilikleri karşılamayan veya düzenlemeleri ihlal eden IoT ürün üreticilerine ağır para cezaları uygulamayı planlıyor. Suç işleyen şirketlere 15 milyon Euro'ya kadar veya bir önceki yıla göre cirolarının yüzde 2.5'i kadar para cezası verilebilir.

AB'nin önerdiği Nesnelerin İnterneti güvenlik yasasının kapsamı, ABD'nin şu anda sahip olduğu yasayla karşılaştırıldığında oldukça geniştir. Önerilen mevzuat, Avrupa Komisyonu'na, hükümete mi yoksa özel müşterilere mi satıldığına bakılmaksızın, uyumlu olmayan IoT ürünlerini yasaklama veya geri çağırma yetkisi verecek.

IoT güvenlik etiketleme programı (önerilen)

Bununla birlikte, Amerika Birleşik Devletleri hükümeti bir plan yapmayı planlıyor. IoT güvenlik etiketleme programıBu, bir bakıma Nesnelerin İnterneti güvenliği çabasının kapsamını federal devlet dairelerinin ötesine genişletiyor. 2023 baharında uygulamaya konacak program, piyasadaki IoT cihazlarının güvenliğine ilişkin (fiziksel etiketler aracılığıyla) bilgi sağlayacak. IoT ürünleri alıcılarının bilinçli ve daha iyi satın alma kararları almasına yardımcı olmayı amaçlamaktadır.

Önerilen IoT güvenlik etiketleme programı, tüketicilere cihazların veya elektronik cihazların enerji verimliliği hakkında bilgi sağlayan Energy Star etiketleriyle karşılaştırılabilir. Güvenli olmayan IoT ürünlerini piyasadan atmaz ancak alıcılar için daha az kabul edilebilir hale getirir.

Sertifikasyon ve etiketleme süreciyle ilgili henüz bir ayrıntı yok. Şirketlerin kendi kendilerini belgelendirmelerine izin verilip verilmediği veya üçüncü taraf sertifikalandırma kuruluşlarına başvurup başvuramayacakları belli değil. Ancak sektör oyuncularının çoğunun plana destek verdiği bildirildi.

Diğer önemli IoT güvenlik çabaları

Diğer ülkeler de IoT cihazlarının güvenliğini sağlamanın önemini kabul ediyor. Örneğin Japonya'da bir yasa çıkarıldı. hükümetin IoT cihazlarına sızmasına izin ver sadece devlet dairelerinde değil, özel kurumlarda ve evlerde de kullanılıyor. Hükümetin mantığı: Tehdit aktörlerinden önce güvenlik açıklarını bulup ele almak.

Çin'de Sanayi ve Bilgi Teknolojileri Bakanlığı (MIIT) yayınlanan yönergeler Nesnelerin interneti için bir güvenlik standardının oluşturulması. Standart, yazılım güvenliği, veri güvenliği ve kullanıcı erişimi ve kimlik doğrulamaya ilişkin rehberlik içerir.

Öte yandan Singapur'un zaten bir özelliği var. IoT siber güvenlik etiketleme programı bu, kendi etiketleme programlarına sahip olan Finlandiya ve Almanya tarafından da tanınmaktadır. Program resmi olarak tüketici akıllı cihazları için Siber Güvenlik Etiketleme Planı (CLS) olarak anılıyor.

IEC 62443 serisi uluslararası siber güvenlik standartlarının geliştirilmesi ve ilgili yasa ve düzenlemelerin farklı ülkelerde uygulamaya konması, IoT ve operasyonel teknoloji güvenliği açısından memnuniyet verici bir gelişmedir. Nesnelerin İnterneti ve gömülü cihazlar, siber saldırı yüzeyleri olarak çoğunlukla göz ardı ediliyor. Kuruluşlar, genişleyen IoT ekosisteminin getirdiği artan riskleri göz ardı etme, küçümseme veya bunlara çok az dikkat etme eğiliminde oldukları için düzenlemelerden ve yasal güvenlik gereksinimlerinden yararlanmaktadır.

spot_img

En Son İstihbarat

spot_img

Telif Hakkı @ 2024 Plato Technologies Inc.