توفر أجهزة إنترنت الأشياء (IoT) إمكانات هائلة للمستخدمين. بالنظر إلى حولي أرى المزيد والمزيد من الطرق ، خاصة في عالم ما بعد COVID-19 ، تجعل هذه الأجهزة حياتنا أسهل وأكثر أمانًا ، مما يجعل هذا العمل أكثر أهمية من أي وقت مضى. وبينما يعد الأمن السيبراني مسؤولية مشتركة ومن المرجح أن يتطلب الحل نهج النظام البيئي ، كيف يمكن لأجهزة إنترنت الأشياء تمكين أهداف الأمان للعملاء؟
من خلال العمل مع الصناعة وأصحاب المصلحة الآخرين ، خطونا خطوات كبيرة في السنوات الأخيرة لزيادة أمن إنترنت الأشياء بشكل عام. في التقرير المشترك بين الوكالات حول حالة التقييس الدولي للأمن السيبراني لإنترنت الأشياء (IoT) المنشور في نوفمبر 2018 ، كان من الواضح أن الكثير قيد التنفيذ بالفعل. ومع ذلك ، لم يكن من الواضح لمصنعي إنترنت الأشياء: ما ينطبق عليهم ؛ من أين أبدا؛ وكيفية تجنب التجزؤ وتعزيز الاتساق. ما التوجيهات وأفضل الممارسات التي يمكن لمصنعي الأجهزة اتباعها؟
مع أحدث منشوراتنا ، NISTIR 8259A – خط الأساس الأساسي لقدرات الأمن السيبراني لجهاز IoT ، يحدد NIST Cybersecurity for IoT Program الخط الأساسي الأساسي لقدرات الأمن السيبراني لأجهزة IoT للمصنعين – أي قدرات الجهاز اللازمة بشكل عام لدعم ضوابط الأمن السيبراني الشائعة.
تم نشرها في نفس الوقت ، NISTIR 8259 – أنشطة الأمن السيبراني الأساسية لمصنعي أجهزة إنترنت الأشياء ، توفر أنشطة محددة موصى بها لمساعدة الشركات المصنعة على تلبية احتياجات العملاء للأمن السيبراني في عمليات تطوير منتجاتهم.
نهج ذو شقين: أنشطة الشركة المصنعة وقدرات الجهاز الأساسية
تم تقسيم NISTIR 8259 إلى أنشطة محددة (8259) وإمكانيات الجهاز (8259A) للمصنعين – كل منها يعزز الآخر ، ولكن ميزه NIST للوضوح وتسهيل الاعتماد.
بينما يخطط مصنعو أجهزة إنترنت الأشياء ميزات منتجهم ، يجب عليهم أيضًا التفكير في الوسائل التقنية التي سيتم توفيرها من خلال: جهاز إنترنت الأشياء نفسه ؛ الأجهزة الأخرى المتعلقة و / أو التي تتصل بجهاز إنترنت الأشياء ؛ أنظمة وخدمات أخرى تعمل نيابة عن الشركة المصنعة ؛ والعميل – ومدى قوة كل من هذه الوسائل. يوفر NISTIR 8259 ستة أنشطة محددة موصى بها يمكن أن تساعد الشركات المصنعة على معالجة هذه المعضلة الشاملة خلال مرحلة ما قبل السوق وكذلك مرحلة المنتج بعد السوق:
إدراكًا لحالات استخدام إنترنت الأشياء التي تغطي العديد من الصناعات والاختصاصات القضائية ولكن هناك بعض القدرات المشتركة ، يوفر 8259A خط الأساس الأساسي. وهي تحدد إمكانات الجهاز اللازمة بشكل عام لدعم ضوابط الأمن السيبراني الشائعة ، بهدف حماية الأجهزة والبيانات والأنظمة والنظم البيئية للمؤسسة.
حل يغذيها التعاون والشفافية
الأمر التنفيذي الرئاسي بشأن تعزيز الأمن السيبراني للشبكات الفيدرالية والبنية التحتية الحرجة دعا إلى “الصمود ضد شبكات الروبوت وغيرها من التهديدات الآلية الموزعة.” في هذا الأمر ، وجه الرئيس وزيري التجارة والأمن الداخلي إلى “قيادة عملية مفتوحة وشفافة لتحديد وتعزيز العمل … لتحسين مرونة الإنترنت والنظام البيئي للاتصالات وتشجيع التعاون بهدف الحد بشكل كبير من التهديدات المرتكبة. عن طريق الهجمات الآلية والموزعة (مثل شبكات الروبوت). ”
إدراكًا لأهمية أمن إنترنت الأشياء لكل من المنظمات والأفراد (عبر الأمة وفي جميع أنحاء العالم) ، واستجابة للنظام ، نشرت وزارتا التجارة والأمن الداخلي تقرير إلى الرئيس حول تعزيز مرونة النظام البيئي للإنترنت والاتصالات ضد شبكات المعالجة والتهديدات الآلية الأخرى الموزعة (أ / ك / أ “تقرير Botnet”). في وقت لاحق من ذلك العام ، أصدرنا خريطة طريق Botnet مرتبطة.
بدءًا من الملحق أ في مسودة NISTIR 8228: اعتبارات إدارة الأمن السيبراني ومخاطر الخصوصية على إنترنت الأشياء (IoT) ، بدأنا بالنظر إلى الجهود الحالية ، سواء المحلية (مثل تحالف Cloud Security ، اتحاد الإنترنت الصناعي) والعالمي (GSMA ، مبادرات ENISA ، DCMS لحكومة المملكة المتحدة) لتحديد مجالات التقارب العام حول قدرات أجهزة إنترنت الأشياء الرئيسية. بتشجيع من مواصلة عملنا ، أشرك المعهد القومي للمعايير والتقنية مجموعة واسعة من أصحاب المصلحة وزرع شراكات بين القطاعين العام والخاص من أجل تطوير الأنشطة والقدرات التي ستشكل NISTIR 8259 بشكل تعاوني. يتضمن المنشور النهائي أكثر من 450 تعليقًا تلقاها المعهد خلال فترتين للتعليق العام وورشة عمل اجتذبت أكثر من 500 مشارك (افتراضي وشخصي).
والنتيجة هي نهج قوي قائم على المخاطر يكون عمليًا وعمليًا للصناعة – والذي بدأ اعتماده على نطاق واسع حتى قبل نشر الوثيقة النهائية.
ما هو التالي لخط الأساس الأساسي؟
نخطط لمواصلة المشاركة في مشروع المنظمة الدولية للتوحيد القياسي (ISO) / IEC لتطوير معيار دولي لخط أساس جهاز إنترنت الأشياء لمتطلبات الأمان. يشجعنا أن نرى أصحاب المصلحة ، مثل مجلس تأمين تحالف الاقتصاد الرقمي C2 ، يدمجون مسودة منشورنا في صياغة خط الأساس الخاص بتوافق الآراء ونتطلع لرؤية ذلك العمل يتطور.
لقد بدأنا في تطوير ملف تعريف اتحادي ، بتكييف NISTIR 8259 و 8259A ، لتحديد قدرات جهاز الأمن السيبراني – جنبًا إلى جنب مع دعم الشركة المصنعة والقدرات غير الفنية للوكالة – اللازمة لتمكين الوكالة الفيدرالية من اعتماد أجهزة إنترنت الأشياء الأكثر أمانًا.
يمثل نشر NISTIR 8259 النهائي علامة بارزة في تطور الأمن السيبراني لأجهزة إنترنت الأشياء ، مما يمهد الطريق لنهج شامل بما في ذلك الأنشطة الأخرى الواردة في خريطة الطريق Botnet – مثل استكشاف وضع العلامات أو مخطط الشفافية الآخر لأجهزة إنترنت الأشياء وإنشاء برنامج التقييم (أجهزة) أجهزة إنترنت الأشياء – بحماس وتركيز أكبر.