home 제조 기술 제조 장비
산업 제조
산업용 사물 인터넷 | 산업자재 | 장비 유지 보수 및 수리 | 산업 프로그래밍 |
home  MfgRobots >> 산업 제조 >  >> Industrial Internet of Things >> 사물 인터넷 기술

최신 IoT 보안 규정의 적용 범위가 충분합니까?

정부가 IoT 보안 문제를 해결하기 위해 노력함에 따라 전 세계적으로 규제가 가중되었습니다. 이는 시장이 성숙 단계에 접어들고 있지만 IoT 공간을 규제하는 데 어려움이 있음을 나타내는 긍정적인 단계입니다. 이러한 움직임은 IoT 폐기물 산을 만들 수 있다고 제안하는 사람들과 혁신을 방해할 수 있다고 말하는 사람들에 이르기까지 불가피하게 저항에 부딪쳤습니다.

따라서 각 법안은 약간씩 다릅니다. 그러나 이러한 규정이 앞으로의 규정의 진화를 어떻게 형성할 것인지에 대해 Pen Test Partners 파트너인 Ken Munro는 다음과 같이 말합니다.

<올>
  • 2017년 IoT 사이버 보안 개선법 (미국): 미국 정부 내에서 IoT를 제어하는 ​​것을 목표로 하는 IoT 사이버 보안 개선법은 IoT 개발에 중대한 영향을 미칠 수 있습니다. 장치는 NIST 데이터베이스에서 알려진 보안 결함을 나타내지 않아야 하고, 업데이트를 지원해야 하고, 원격 관리, 업데이트 및 통신을 위해 고정 또는 하드 코딩된 자격 증명을 사용해야 하며, 취약점을 공개하고 수리해야 합니다. 그러나 결함을 NIST로 제한하면 고객 앱의 SQL 삽입과 같이 나열되지 않은 일반적인 문제가 간과될 수 있습니다. 또한 많은 RF 프로토콜이 자격 증명을 전혀 사용하지 않도록 설계되었으므로 더 엄격한 무선 프로토콜을 지원하려면 이러한 장치를 폐기하거나 업그레이드해야 한다는 사실을 인정하지 않습니다. 이 법안은 아직 통과되지 않았으며, 다른 법안으로는 스마트 IoT법, DIGIT법, 보안 IoT법, 사이버 실드법, IoT 소비자 TIPS법 등이 있습니다.
  • 사이버 보안법 (EU): 2018년 5월부터 이 법안은 ENISA(European Union Agency for Network and Information Security)가 모든 EU 회원국에서 연결된 자동차 및 스마트 제품을 인증하기 위해 만들어진 사이버 보안 및 인증 프레임워크를 위한 기관이 되는 것을 보게 됩니다. 사이버 보안법은 주요 국가 기반 시설에 대해서만 의무화됩니다. 제조업체는 인증 체계에 따라 IoT 장치를 '기본', '상당히' 또는 '높음'으로 분류하도록 요청할 수 있지만 시스템은 자발적입니다. 이들을 유인하기 위해 '기본' 수준으로 가는 사람들은 '자체적으로 적합성 테스트를 수행'할 수 있다. 문서에는 ENISA가 "보안을 개선하기 위해 공급자 및 제조업체를 대상으로 경고를 발행"할 권한이 있다고 명시되어 있지만 이것이 어떻게 시행되는지에 대한 언급은 없습니다. 로비스트와 보안 연구원이 내부 고발을 하고 노조 전체에 책임감 있게 공개할 수 있도록 불만 사항을 대비합니다.
  • SB-327 (미국): 2018년 8월에 통과된 SB-327은 캘리포니아를 스마트 기술을 규제하는 최초의 미국 주로 만듭니다. 소비자 장치에 대한 몇 가지 기본 보안 표준을 의무화하고 2020년 1월부터 발효됩니다. 그러나 "보호하도록 설계된" "적절한" 보안을 언급하는 표현이 모호합니다. 대부분의 장치는 장치/데이터를 보호하여 요구 사항을 무시한다고 주장할 수 있습니다. 고유한 암호를 필수로 지정하지만 장치에 좋은 엔트로피 소스가 있는지 여부에 대한 문제를 해결하지 못합니다. 소매업체도 2020년 이전에 규정을 준수하지 않는 기술로 시장이 들끓는 것을 볼 수 있습니다. 이러한 기기가 업데이트를 지원해야 한다는 명시된 요구 사항은 없습니다.
  • 소비자 IoT 보안 실행 강령(영국): 3월에 시작된 Secure by Design 제안 초안을 기반으로 DCMS(디지털, 문화, 미디어 및 스포츠)에서 발행한 CoP는 이제 GDPR(일반 데이터 보호 규정)을 통합합니다. 제조업체, 모바일 앱 개발자, 서비스 제공업체 및 소매업체를 위한 지침을 제공하는 범위가 넓지만 이는 자발적입니다. CoP는 기본 암호를 사용해서는 안 되며 자격 증명 및 보안에 민감한 데이터는 안전하게 저장해야 하며 소프트웨어는 계속 업데이트해야 한다고 명시하고 있습니다. 그러나 취약점 공개 정책을 사용할 것을 권장하지만 공급업체가 수정 사항을 발표할 것을 요구하지는 않습니다. 그럼에도 불구하고 이는 소비자 IoT 보안을 위한 매우 긍정적인 진전입니다.
    • <노스크립트>

    분명한 것은 당국이 이러한 기준이 자발적으로 준수될 것인지에 대한 질문을 던지는 부드럽고 부드러운 접근 방식을 매우 선호한다는 것입니다. IoT 공급업체는 제품을 시장에 출시해야 한다는 압박을 받고 있습니다. 그들이 스스로 규제의 어떤 형태를 채택하려면 그들에게 상당한 이점이 필요하거나 영향이 있어야 합니다.

    시장 자체가 더 많은 압력을 가할 수 있는 곳입니다. 이를 거래기준법에 명시하여 소비자에게 신용을 위해 취약한 스마트 상품을 반환할 수 있는 권리를 부여합니다. 소매 부문이 취약한 기기를 비축하지 않도록 하십시오. 그러면 제조업체는 항복하고 분류 체계에 가입하고 장치를 테스트할 더 많은 인센티브를 갖게 됩니다.

    현재로서는 자율 규제가 얼마나 효과적인지 말하기에는 너무 이르다. 우리는 입법을 중단하고 업계가 IoT의 중추적인 순간에 적응할 수 있는 기회를 제공해야 합니다. 그래야만 더 징벌적 조치를 적용해야 하는 부분을 평가할 수 있습니다.

    이 블로그의 작성자는 Pen Test Partners의 파트너인 Ken Munro입니다. 그는 정기적으로 영국 및 미국 정부 부처에 브리핑을 하고 IoT 규제에 관한 다양한 EU 소비자 위원회.


    사물 인터넷 기술

  • 임베디드
  • 감지기
  • 클라우드 컴퓨팅
  • 사물 인터넷 기술
    1. 산업용 IoT 보안:퍼즐의 잃어버린 조각
    2. 산업용 IoT 보안으로 가는 길
    3. IoT가 제조에 미칠 5가지 영향
    4. 보편적인 IoT 보안 표준 모색
    5. 산업용 IoT의 보안 취약점 해결
    6. 사이버 보안 및 사물 인터넷:미래 지향적인 IoT 보안
    7. IoT 장치의 채택 증가는 가장 큰 사이버 보안 위험입니다.
    8. 협동 – IoT에 SD-WAN이 필요한 이유
    9. 네트워크 계층에서 애플리케이션 계층까지 IoT 보안
    10. ETSI IoT 표준:규제 기관이 IoT 장치를 보호하기 위해 충분히 노력하고 있습니까?