השוק הבריטי לטכנולוגיות מחוברות מוצף בערכות לא מאובטחות כבר שנים. אלו חדשות רעות עבור צרכנים ועסקים, שכן ניתן להשתמש במכשירים שנפגעו כדי להפעיל התקפות נגד שניהם, תוך ערעור אמון השוק בטכנולוגיה חדשה. כשהבריטי הממוצע ניגש עכשיו יותר מתשע התקנים מחוברים, הממשלה הציגה באיחור חקיקה לשיפור תקני האבטחה הבסיסיים. הוא נכנס לתוקף בדצמבר 2023.
למרות שלא מושלם, ה חוק אבטחת מוצרים ותשתיות טלקומוניקציה (PSTI) 2022 מבטיחה להיות ההתחלה של משטר ציות קפדני יותר עבור יצרנים, מפיצים ויבואנים של מוצרים חכמים.
למה אנחנו צריכים את חוק PSTI?
סיכון IoT לא התחיל עם מיראי, אבל זה היה האיום הגדול הראשון שחשף את הפגיעויות הגלומות בטכנולוגיות מחוברות. שחקני איומים השתמשו בתוכנה הזדונית המכונה כדי לחפש מכשירי IoT מחוברים שעדיין משתמשים בשם המשתמש והסיסמה המוגדרים כברירת מחדל שאיתם עזבו את המפעל. לאחר מכן הוא ייכנס אליהם כדי לחטוף מרחוק את נקודות הקצה כדי לבנות רשת בוט ל-DDoS, הונאת קליקים, מסעות פרסום ספאם ואיומים אחרים.
בעיה שכיחה נוספת בערכות IoT של חברות וצרכנים הן פגיעויות בקושחה עצמה, שעלולות להיות מנוצלות על ידי גורמי איומים. מחקר שנערך לאחרונה על ידי IoT Security Foundation (IoTSF) מצא כי רק 27% מתוך 332 יצרני ה-IoT המוערכים אפילו מפעילים תוכניות לגילוי נקודות תורפה. המוצרים המושפעים יכולים לנוע מנתבי רשת ועד מכשירים רפואיים ומכשירי DVR למוניטורים לתינוקות.
מה כתוב בחוק PSTI?
כאן נכנס לתמונה חוק ה-PSTI. זהו למעשה שני סעיפי חקיקה באחד, אבל זה המחצית הראשונה, בנושא "אבטחת מוצר", שאנו מתעניינים בו. המטרה פשוטה: ליצור IoT בדרגת צרכן ערכות הנמכרות בבריטניה מאובטחות יותר כברירת מחדל. הוא מחייב יצרנים, מפיצים ויבואנים לפעול לפי כללים נוקשים לגבי מוצרי IoT. הכללת שתי הישויות האחרונות נועדה להבטיח שארגונים לא יוכלו פשוט לעקוף את הכללים על ידי יבוא מוצרים לא מאובטחים מחוץ למדינה.
אז מה זה מחייב? בהתבסס על תקן ETSI EN 303 645 (5.1 עד 5.3) ולדיווח אבטחה, ISO/IEC 29147, ישנם שלושה מרכיבים מרכזיים:
סיסמאות:
חייב להיות ייחודי עבור כל מוצר או מוגדר על ידי המשתמש. אסור שיהיה קל לנחש או למנות סיסמאות שנקבעו על ידי המפעל.
חשיפת פגיעות:
חייבת להיות נקודת קשר אחת לפחות ביצרן/מפיץ/יבואן, וכאשר הם מקבלים דוח אבטחה, עליהם לאשר זאת ולשלוח עדכונים עד להשגת פתרון.
תקופת עדכון אבטחה מינימלית:
יש לפרסם מידע על תקופת העדכון. אין מינימום מוצהר, רק שיש לפרסם אותו. עוד כתוב שלא ניתן לקצר את התקופה, אבל אפשר להאריך אותה.
מנהל IoTSF, ג'ון מור, אומר ל-ISMS.online שהדרישות הללו הן חלק טכניות וחלקן מבוססות תהליכים.
"היצרנים יצטרכו לעצב מוצרים בעלי סיסמאות ייחודיות וחזקות 'מחוץ לקופסה', ומשתמשים צריכים להיות מסוגלים לשנות את אלה. יש לכך השלכות ברורות על אופן עיצוב המוצרים. הדרישה השנייה היא ניסיון להבטיח שהאבטחה נשמרת - שניתן לתקן פרצות ידועות בשטח או, במצבים קיצוניים, להיזכר בהן. המשמעות היא שכל החברות נדרשות לקיים תהליך שלפיו "חוקרים" או הדיוטות יכולים ליצור קשר עם הספק ולדווח על בעיות אבטחה", הוא מוסיף.
"הדרישה השלישית היא ליידע את הצרכן מה ניתן לצפות מבחינת תחזוקת אבטחה - יש לכך גם השלכה על שלב התכנון - כיצד יתאפשרו עדכוני אבטחה? מה התהליך לעדכונים המוניים?"
ארגונים המפרים את החוק יכולים להיקנס עד 10 מיליון ליש"ט או 4% מההכנסות השנתיות העולמיות שלהם, הגבוה מביניהם. חוק ה-PSTI גם נותן למזכיר המדינה את הסמכות להוציא הודעות עצירה והחזרה.
איך זה מתיישב עם המשטר האירופי?
המשטר המקביל באיחוד האירופי הוא חוק חוסן סייבר (CRA), שעדיין מפלס את דרכה דרך מוסדות החוק של הגוש. נראה שהוא מגדיר רף גבוה יותר בכל הנוגע לאבטחת IoT, מוצרי IoT מחייבים מיוצרים עם תצורה מאובטחת כברירת מחדל, ללא פגיעויות ניתנות לניצול, וכוללים מנגנוני אימות מתאימים כמו גם הצפנת נתונים, אם רלוונטי. הערכות סיכונים ותאימות יידרשו גם בזמן שהם אינם בבריטניה.
עבור אותם ארגונים הפועלים בבריטניה ובאיחוד האירופי, הציות לא אמור להיות קשה כל עוד הם דבקים במשטר האיחוד האירופי המחמיר יותר.
"למרבה המזל, היה דיאלוג מתמשך עם הרשויות בבריטניה ועם עמיתיהם באיחוד האירופי. למיטב ידיעתנו, חברות יוכלו ליישר את דרישות בריטניה והאיחוד האירופי ללא תקורה משמעותית", אומר מור.
"נספח 4 קובע את כמות המידע המינימלית שנדרש לציין בהצהרת ציות. היצרנים יצטרכו לספק כמות מינימלית של מידע על הצהרת התאימות שלהם וחתימה כדי להפוך את הצהרת התאימות לרשמית. יש לשמור עותק מההצהרה למשך 10 שנים לפחות".
חוק ה-PSTI הבריטי נכנס לתוקף באפריל 2024, בעוד שה-CRA ככל הנראה לא ינחת עד סוף 2025, כלומר ליצרנים וליבואנים יש יותר זמן להתכונן, אומר היועץ הראשי של בריידוול, אלן בלקוול, ל-ISMS.online.
האם זה הולך רחוק מספיק?
יש עדיין ויכוח אם חוק PSTI הוא הזדמנות שהוחמצה להציג רף גבוה יותר לאבטחת IoT. בלקוול מסבירה שהיא שואבת גם מ-ETSI EN 303 645 וגם מקוד נוהג בבריטניה לאבטחת IoT לצרכנים, שפורסם עוד ב-2018.
"אבל רק שלוש הדרישות המובילות [ETSI], מתוך סך של 13, נכנסו לגרסה הראשונה של התקנות. לדוגמה, אחד המחדלים הנוכחיים הוא הצורך לספק תקשורת מאובטחת דרך האינטרנט", הוא מוסיף. "עם הזמן, אנו מקווים לראות את המעשה מתבסס על שלוש הדרישות הראשוניות כדי לכלול עוד כמה מהקוד הנוהג של בריטניה ו-ETSI."
המורה של IoTSF מסכים ומתאר את החוק כ"צעד ראשון הכרחי" שיספק בסיס להתבסס עליו.
"רגולציה היא פעולת איזון עדינה בין השגת מטרותיה המוצהרות לבין הימנעות מהשלכות לא רצויות - במקרה זה, לא חונקת חדשנות", הוא טוען. "הגישה שממשלת בריטניה נקטה היא הגיונית - היא קובעת רמה מינימלית של דרישות ותפתח אותן לאורך זמן לפי הצורך".
Blackwell של Bridewell טוען שאכיפת החוק תקבע בסופו של דבר עד כמה היא יעילה בשיפור האבטחה הבסיסית בתעשייה.
"היינו מצפים שהרגולציה תתחיל בנגיעה קלה מלכתחילה בעוד יצרנים, מפיצים ויבואנים יסדרו את עצמם. אבל באופן מסורתי, עם תקנות מסוג זה של אבטחת סייבר, אנו רואים את פעולות האכיפה של הרגולטור מתחילות לעלות לאחר כמה שנים", הוא מסכם.
ובכל זאת, עם חוק PSTI בתוקף כעת, ארגונים לא צריכים לבזבז זמן בביצוע השינויים הטכניים והתהליכים המתאימים הדרושים כדי לעמוד בדרישות.
