IoT 보안법은 표준을 요구합니다

많은 IoT 개발 팀에서 보안은 소비자 제품에 구현하는 데 필요한 비용과 노력의 가치가 없는 것으로 여겨지는 희망 목록 항목으로 남아 있습니다. 소비자들은 향상된 사이버 보안 기능에 대해 추가 비용을 지불하거나 그러한 기능이 없는 제품을 피하려고 하지 않는 것 같습니다. 그러나 입법 활동에서 보안을 소비자 IoT 설계에 대한 법적 요구 사항으로 만들기 시작했습니다.

IoT World Today's IoT Security Summit에서 미국 NIST(National Institute of Standards and Technology)의 프로그램 관리자 Katerina Megas는 IoT 장치에 보안을 통합하도록 요구하는 법안이 이미 일부 주에서 책에 나와 있으며 추가되고 있다고 지적했습니다. 연방법도. Megas는 2020년 1월 캘리포니아와 오리건 주에서 연결된 장치 제조업체가 장치에 "합리적인 보안 기능"을 갖추도록 요구하는 법률을 제정했다고 언급했습니다. 또한 일리노이, 매사추세츠, 뉴욕, 버지니아를 비롯한 여러 추가 주에서도 유사한 법안이 계류 중이거나 고려 중입니다.

Megas는 또한 미국 정부가 IoT 보안을 의무화하는 법안을 만들기 시작했다고 언급했습니다. 예를 들어, 미국 하원은 3월에 H.R. 1668 – 2020년 사물 인터넷 사이버 보안 개선법을 도입했습니다. 이 법은 최소 정보 보안을 포함하여 기관이 소유하거나 통제하고 기관이 소유하거나 통제하는 정보 시스템에 연결된 사물 인터넷 장치의 기관에 의한 적절한 사용 및 관리에 관한 "연방 정부를 위한 표준 및 지침"의 생성을 요구합니다. 그러한 장치와 관련된 사이버 보안 위험을 관리하기 위한 요구 사항입니다." 이 법안은 하원과 상원을 모두 통과했으며 12월 4일에 서명했습니다. 표준 및 지침은 90일 이내에 게시되어야 합니다.

IoT 기기에 보안 기능을 구현하도록 하는 법률이 제정되기 시작했습니다.

H.R. 1668은 미국 정부가 사용하는 IoT 시스템에만 적용되지만 궁극적으로 산업 및 소비자 시스템에도 적용되는 사이버 보안 규정의 시작입니다. 2019년 의회는 사이버 공간에서 미국이 스스로를 방어할 수 있는 전략적 접근 방식을 개발하기 위해 사이버 공간 일광 욕실 위원회를 설립했습니다. 그 위원회의 첫 번째 보고서에는 위원회의 다층 방어 전략을 구현하는 데 도움이 되는 50개 이상의 입법 제안을 포함하여 80개 이상의 권장 사항이 포함되어 있습니다. 이러한 제안 중 다수는 정부 시스템에 영향을 미칠 뿐만 아니라 산업 및 소비자 시스템에도 적용됩니다.

세 가지 구체적인 제안은 IoT 개발 팀의 큰 관심을 불러일으킵니다. 한 사람은 NISTIR 8259 — IoT 장치 제조업체를 위한 기초 사이버 보안 활동과 같은 NIST 권장 사항에 따라 "합리적인 보안 조치"를 의무화하는 IoT 보안 법률을 통과시킬 것을 미국에 요구합니다. 또 다른 제안은 IoT 장치가 요구 사항을 준수하는지 확인하는 국가 사이버 보안 인증 및 라벨링 기관의 설립을 요구합니다. 또한 이 제안은 해당 권한이 연방 및 산업용 IoT 시스템을 넘어 개인 및 소비자 전자 제품을 포괄하도록 범위를 확장할 것을 요구합니다.

주목할만한 세 번째 제안은 디자인에 IoT 보안 구현에 대한 경제적 반대 의견을 무시할 수 있는 잠재력이 있습니다. 이 제안은 최종 제품 조립업체에 대한 책임 설정을 요구합니다. 구현하는 경우 판매용 IoT 장치 제조업체는 장치가 알려진 취약성으로부터 보호하지 못할 경우 손해에 대해 책임을 집니다. 다시 말해, IoT 보안은 소비자가 더 많은 지출을 하도록 유도하든 그렇지 않든 "필수" 기능이 될 것입니다. 보안을 구현하지 않을 위험이 너무 높습니다.

이 모든 법률이 요구하는 "합리적인 보안 기능"은 아직까지는 모호하게 정의되어 있습니다. Megas에 따르면 캘리포니아 및 오레곤 법률에서 "합리적인"의 정의는 단순히 장치의 기능과 장치가 처리하는 정보에 적절한 조치를 요구하고 장치의 무단 액세스, 공개, 사용, 수정 또는 파괴를 방지하기 위한 것입니다. 그 정보. 구체적인 조치가 정의되어 있지 않습니다.

또한 그럴 가능성도 없습니다. Megas가 프레젠테이션에서 지적했듯이 NIST가 사이버 보안 조치를 권장하는 기본 철학은 하나의 크기가 모든 사람에게 적합하지 않다는 것입니다. 따라서 특정 조치는 이러한 법률에 포함되지 않습니다. 대신 결과 기반 접근 방식을 취하고 있습니다. IoT 설계에 사이버 보안을 구현하도록 요구하는 법은 이것이 어떻게 수행되는지 지정하지 않을 것입니다. 그 결정은 여전히 ​​개발 팀에 있습니다. 그러나 IoT 보안의 필요성과 구현 기능은 올바른 의미에서 법적 요구 사항으로 진화하는 궤도에 있습니다.

>> 이 기사는 원래 다음 날짜에 게시되었습니다. 자매 사이트인 EDN.