Sind Sie bereit für das neue IoT-Sicherheitsgesetz des Vereinigten Königreichs?
Inhaltsverzeichnis:
Der britische Markt für vernetzte Technologien wird seit Jahren mit unsicheren Kits überschwemmt. Das sind schlechte Nachrichten für Verbraucher und Unternehmen, da kompromittierte Geräte dazu verwendet werden können, Angriffe gegen beide zu starten und gleichzeitig das Vertrauen des Marktes in neue Technologien zu untergraben. Jetzt greift der durchschnittliche Brite zu mehr als neun Bei vernetzten Geräten hat die Regierung verspätet Gesetze zur Verbesserung der grundlegenden Sicherheitsstandards eingeführt. Es trat im Dezember 2023 in Kraft.
Obwohl nicht perfekt, die Produktsicherheits- und Telekommunikationsinfrastrukturgesetz (PSTI) 2022 verspricht der Beginn eines strengeren Compliance-Regimes für Hersteller, Händler und Importeure intelligenter Produkte zu sein.
Warum brauchen wir das PSTI-Gesetz?
Das IoT-Risiko hat noch nicht begonnen mit Mirai, aber es war die erste große Bedrohung, die die Schwachstellen vernetzter Technologien offenlegte. Bedrohungsakteure nutzten die gleichnamige Malware, um nach angeschlossenen IoT-Geräten zu suchen, die noch immer den Standardbenutzernamen und das Standardkennwort verwenden, mit denen sie das Werk verlassen hatten. Anschließend würde es sich bei ihnen anmelden, um die Endpunkte aus der Ferne zu kapern und ein Botnetz für DDoS, Klickbetrug, Spam-Kampagnen und andere Bedrohungen aufzubauen.
Ein weiteres häufiges Problem bei IoT-Kits für Unternehmen und Verbraucher sind Schwachstellen in der Firmware selbst, die von Bedrohungsakteuren ausgenutzt werden könnten. Eine aktuelle Studie der IoT Security Foundation (IoTSF) festgestellt, dass Nur 27 % der 332 bewerteten IoT-Hersteller führen überhaupt Programme zur Offenlegung von Schwachstellen durch. Betroffene Produkte können von Netzwerk-Routern bis hin zu reichen Medizinprodukte und DVRs bis hin zu Babyphones.
Was steht im PSTI-Gesetz?
Hier kommt das PSTI-Gesetz ins Spiel. Es handelt sich eigentlich um zwei Gesetze in einem, aber es ist die erste Hälfte, die „Produktsicherheit“, die uns interessiert. Das Ziel ist einfach: IoT für Verbraucher zu schaffen Im Vereinigten Königreich verkaufte Kits sind standardmäßig sicherer. Es schreibt vor, dass Hersteller, Händler und Importeure strenge Regeln für IoT-Produkte einhalten. Durch die Einbeziehung der beiden letztgenannten Einheiten soll sichergestellt werden, dass Organisationen die Regeln nicht einfach umgehen können, indem sie unsichere Produkte von außerhalb des Landes importieren.
Was schreibt es also vor? Aufbauend auf der Norm ETSI EN 303 645 (5.1 bis 5.3) und, für die Sicherheitsberichterstattung, ISO/IEC 29147, gibt es drei Schlüsselelemente:
Passwörter:
Muss für jedes Produkt eindeutig sein oder vom Benutzer definiert werden. Werkseitig festgelegte Passwörter dürfen nicht leicht zu erraten oder aufzuzählen sein.
Offenlegung von Sicherheitslücken:
Beim Hersteller/Händler/Importeur muss es mindestens einen Ansprechpartner geben, und wenn er einen Sicherheitsbericht erhält, muss er diesen bestätigen und Aktualisierungen senden, bis eine Lösung gefunden wurde.
Mindestzeitraum für Sicherheitsupdates:
Informationen zum Aktualisierungszeitraum müssen veröffentlicht werden. Es gibt kein festgelegtes Mindestmaß, nur dass es veröffentlicht werden muss. Darin heißt es auch, dass die Frist nicht verkürzt, aber verlängert werden könne.
IoTSF-Geschäftsführer John Moor erklärt gegenüber ISMS.online, dass diese Anforderungen teils technischer und teils prozessbasierter Natur seien.
„Hersteller müssen Produkte entwickeln, die ‚out of the box‘ über eindeutige und sichere Passwörter verfügen, und Benutzer sollten in der Lage sein, diese zu ändern.“ Dies hat klare Auswirkungen auf die Art und Weise, wie Produkte gestaltet werden. Die zweite Anforderung besteht darin, sicherzustellen, dass die Sicherheit gewahrt bleibt – dass bekannte Schwachstellen vor Ort behoben oder in Extremsituationen zurückgerufen werden können. Das bedeutet, dass alle Unternehmen über einen Prozess verfügen müssen, bei dem „Forscher“ oder Laien mit dem Lieferanten Kontakt aufnehmen und Sicherheitsprobleme melden können“, fügt er hinzu.
„Die dritte Anforderung besteht darin, den Verbraucher darüber zu informieren, was in Bezug auf die Aufrechterhaltung der Sicherheit zu erwarten ist – dies hat auch Auswirkungen auf die Designphase – wie werden Sicherheitsupdates ermöglicht?“ Wie läuft der Prozess bei Massenaktualisierungen ab?“
Organisationen, die gegen das Gesetz verstoßen, können mit einer Geldstrafe von bis zu 10 Mio. £ oder 4 % ihres weltweiten Jahresumsatzes belegt werden, je nachdem, welcher Betrag höher ist. Das PSTI-Gesetz gibt dem Außenminister auch die Befugnis, Stopp- und Rückrufmitteilungen zu erlassen.
Wie passt es zum europäischen Regime?
Die entsprechende Regelung in der EU ist die Cyber-Resilienz-Gesetz (CRA), das sich immer noch durch die gesetzgebenden Institutionen des Blocks arbeitet. Es scheint die Messlatte höher zu legen Wenn es um IoT-Sicherheit geht, müssen IoT-Produkte standardmäßig mit einer sicheren Konfiguration ohne ausnutzbare Schwachstellen hergestellt werden und über geeignete Authentifizierungsmechanismen sowie gegebenenfalls Datenverschlüsselung verfügen. Auch außerhalb des Vereinigten Königreichs sind Risiko- und Konformitätsbewertungen erforderlich.
Für Unternehmen, die im Vereinigten Königreich und in der EU tätig sind, sollte die Einhaltung der Vorschriften kein Problem darstellen, solange sie sich an die strengeren EU-Regeln halten.
„Glücklicherweise gab es einen laufenden Dialog mit den britischen Behörden und ihren jeweiligen Kollegen in der EU. Nach unserem besten Wissen werden Unternehmen in der Lage sein, die Anforderungen des Vereinigten Königreichs und der EU ohne nennenswerten Mehraufwand anzugleichen“, sagt Moor.
„Anhang 4 legt die Mindestmenge an Informationen fest, die in einer Konformitätserklärung angegeben werden müssen. Hersteller müssen in ihrer Konformitätserklärung ein Mindestmaß an Informationen angeben und eine Unterschrift leisten, um die Konformitätserklärung offiziell zu machen. Eine Kopie der Abrechnung muss mindestens 10 Jahre lang aufbewahrt werden.“
Das britische PSTI-Gesetz tritt im April 2024 in Kraft, während das CRA voraussichtlich erst Ende 2025 in Kraft treten wird, was bedeutet, dass Hersteller und Importeure mehr Zeit für die Vorbereitung haben, sagt Alan Blackwell, Hauptberater von Bridewell, gegenüber ISMS.online.
Geht es weit genug?
Es gibt immer noch einige Debatten darüber, ob das PSTI-Gesetz eine verpasste Gelegenheit ist, eine höhere Messlatte für die IoT-Sicherheit einzuführen. Blackwell erklärt, dass es sich sowohl auf ETSI EN 303 645 als auch auf einen britischen Code of Practice for Consumer IoT Security stützt, der bereits 2018 veröffentlicht wurde.
„Aber nur die drei wichtigsten [ETSI-]Anforderungen von insgesamt 13 haben es in die erste Version der Vorschriften geschafft. Eines der aktuellen Versäumnisse ist beispielsweise die Notwendigkeit, sichere Kommunikation über das Internet bereitzustellen“, fügt er hinzu. „Wir hoffen, dass das Gesetz im Laufe der Zeit auf den ersten drei Anforderungen aufbaut und weitere Anforderungen aus dem britischen Verhaltenskodex und ETSI einbezieht.“
Moor vom IoTSF stimmt dem zu und beschreibt das Gesetz als einen „notwendigen ersten Schritt“, der eine Grundlage bieten werde, auf der man aufbauen könne.
„Regulierung ist ein feiner Balanceakt zwischen dem Erreichen der erklärten Ziele und der Vermeidung unbeabsichtigter Konsequenzen – in diesem Fall nicht der Unterdrückung von Innovationen“, argumentiert er. „Der Ansatz der britischen Regierung ist sinnvoll – sie legt ein Mindestmaß an Anforderungen fest und wird diese im Laufe der Zeit bei Bedarf weiterentwickeln.“
Blackwell von Bridewell behauptet, dass die Durchsetzung des Gesetzes letztendlich darüber entscheidet, wie wirksam es bei der Verbesserung der Grundsicherheit in der Branche ist.
„Wir gehen davon aus, dass die Verordnung zunächst nur lockere Maßnahmen ergreifen wird, während sich Hersteller, Händler und Importeure mit der Regelung befassen. Aber traditionell beobachten wir bei dieser Art von Cybersicherheitsvorschriften, dass die Durchsetzungsmaßnahmen der Regulierungsbehörden nach einigen Jahren zunehmen“, schließt er.
Da das PSTI-Gesetz nun in Kraft ist, sollten Unternehmen jedoch keine Zeit damit verschwenden, die entsprechenden technischen und prozessualen Änderungen vorzunehmen, die zur Einhaltung erforderlich sind.