ארה"ב: הסנאט העביר חקיקה להסדרת הגנה בסייבר על מוצרי IOT
אם נשיא ארה"ב, דונלד טראמפ, יאשר את ההצעה, והיא תהפוך לחוק, יצרני ציוד IOT יהיו צריכים להתיישר להנחיות האבטחה של NIST
עמי רוחקס דומבה
| 26/11/2020
Official White House Photo by Tia Dufour
הסנאט האמריקני העביר הצעת חוק אבטחת סייבר, שאם תאושר על ידי הנשיא, תשפר את הנחיות האבטחה והפרוטוקולים למכשירי האינטרנט של הדברים (IoT) שנרכשו ובבעלות הממשלה הפדרלית. כך לפי פרסום של malwarebytes.
הצעת החוק, הוגשה לבית הנבחרים האמריקני בשנה שעברה. הסנאט הסכים להעביר את החקיקה ב -17 בנובמבר ב"הסכמה פה אחד", כלומר סנטור אחד - במקרה זה הסנאטור רוב פורטמן מאוהיו - ביקש להעביר את הצעת החוק ללא התנגדות מצד עמיתיו. אין פירוש הדבר שהצעת החוק קיבלה קולות פה אחד לטובתה. המהלך הפרוצדורלי הוא נדיר בעת העברת חקיקה בסנאט.
"זהו ככל הנראה החוק המשמעותי ביותר בנושא אבטחת סייבר הספציפי ל- IoT בארה"ב עד כה, כמו גם החוק המשמעותי ביותר לקידום אימוץ המגזר הפרטי של גילוי פגיעות מתואם," כתב הארלי גייגר, מנהל מדיניות ציבורית בחברת אבטחת הסייבר Rapid7 בפוסט בבלוג של החברה.
"אבטחת IoT זוכה להכרה נרחבת כעדיפות עולמית, ותהליכי גילוי פגיעות הם נוהלי אבטחה בסיסיים, ולכן יש לראות בהעברת הצעת החוק כצעד חיובי מאוד לקידום אבטחת הסייבר ולקהילת הביטחון." הצעת החוק מתמקדת בעיקר בהנחיות ובנהלים
ראשית, חוק שיפור ה- IoT משנת 2020, אם ייחתם בחוק, יחייב את מנהל המכון הלאומי לתקנים וטכנולוגיה (NIST) לפתח ולפרסם "תקנים והנחיות לממשלה הפדרלית בנושא השימוש והניהול המתאים על ידי סוכנויות של מכשירי האינטרנט של הדברים." תקנים אלה יחולו על מכשירי IoT שבבעלותם ובשליטתם של סוכנויות ממשלתיות פדרליות, ועליהם לספק הנחיות בנושא פיתוח מאובטח, ניהול זהויות, תיקון וניהול תצורה.
לאחר שמנהל ה- NIST יפרסם הנחיות אלה, הצעת החוק תחייב שמנהל משרד הניהול והתקציב יבחן את המדיניות והעקרונות הנוכחיים בנושא אבטחת מידע של סוכנויות אזרחיות פדרליות, וידאג כי מדיניות זו תואמת את ההנחיות החדשות של ה- NIST. הסקירה תדרוש גם תיאום עם מנהל הסוכנות לאבטחת סייבר ותשתיות, או CISA
יתר על כן, יש לעדכן את כללי הרכישה הפדרליים הנוכחיים לרכישה ולבעלות על ציוד IoT בהתאם להנחיות NIST הנדרשות לפרסום לאחר העברת הצעת החוק. כחלק מהדרישות הללו, סוכנות ממשלתית לא תהיה רשאית לרכוש מכשירי IoT אם קצין המידע הראשי של אותה סוכנות ימצא כי מכשיר כזה יחרוג מהכללים. לבסוף, הצעת החוק תדרוש כי NIST תפתח גם הנחיות לגילוי וחשיפה של פגיעויות במכשירי IoT.
החוק לשיפור אבטחת סייבר ב- IoT משנת 2020 מסמן צעד ראשון משמעותי עבור הממשלה הפדרלית להציב תקנות אבטחה על מכשירי IoT. החוק יכול לסייע בהתחלת עתיד שבו יצרני מכשירי IoT יכולים להסתכל על מערכת הנחיות אחת עבור המוצרים שלהם. הצעת החוק אמנם אינה מחייבת החלת תקנים אלה על מכשירים שנרכשו על ידי צרכנים כלליים, אך ההנחיה עצמה עדיין עשויה להועיל ביצירת יעדי אבטחה מוסכמים.
אם נשיא ארה"ב, דונלד טראמפ, יאשר את ההצעה, והיא תהפוך לחוק, יצרני ציוד IOT יהיו צריכים להתיישר להנחיות האבטחה של NIST
Official White House Photo by Tia Dufour
הסנאט האמריקני העביר הצעת חוק אבטחת סייבר, שאם תאושר על ידי הנשיא, תשפר את הנחיות האבטחה והפרוטוקולים למכשירי האינטרנט של הדברים (IoT) שנרכשו ובבעלות הממשלה הפדרלית. כך לפי פרסום של malwarebytes.
הצעת החוק, הוגשה לבית הנבחרים האמריקני בשנה שעברה. הסנאט הסכים להעביר את החקיקה ב -17 בנובמבר ב"הסכמה פה אחד", כלומר סנטור אחד - במקרה זה הסנאטור רוב פורטמן מאוהיו - ביקש להעביר את הצעת החוק ללא התנגדות מצד עמיתיו. אין פירוש הדבר שהצעת החוק קיבלה קולות פה אחד לטובתה. המהלך הפרוצדורלי הוא נדיר בעת העברת חקיקה בסנאט.
"זהו ככל הנראה החוק המשמעותי ביותר בנושא אבטחת סייבר הספציפי ל- IoT בארה"ב עד כה, כמו גם החוק המשמעותי ביותר לקידום אימוץ המגזר הפרטי של גילוי פגיעות מתואם," כתב הארלי גייגר, מנהל מדיניות ציבורית בחברת אבטחת הסייבר Rapid7 בפוסט בבלוג של החברה.
"אבטחת IoT זוכה להכרה נרחבת כעדיפות עולמית, ותהליכי גילוי פגיעות הם נוהלי אבטחה בסיסיים, ולכן יש לראות בהעברת הצעת החוק כצעד חיובי מאוד לקידום אבטחת הסייבר ולקהילת הביטחון." הצעת החוק מתמקדת בעיקר בהנחיות ובנהלים
ראשית, חוק שיפור ה- IoT משנת 2020, אם ייחתם בחוק, יחייב את מנהל המכון הלאומי לתקנים וטכנולוגיה (NIST) לפתח ולפרסם "תקנים והנחיות לממשלה הפדרלית בנושא השימוש והניהול המתאים על ידי סוכנויות של מכשירי האינטרנט של הדברים." תקנים אלה יחולו על מכשירי IoT שבבעלותם ובשליטתם של סוכנויות ממשלתיות פדרליות, ועליהם לספק הנחיות בנושא פיתוח מאובטח, ניהול זהויות, תיקון וניהול תצורה.
לאחר שמנהל ה- NIST יפרסם הנחיות אלה, הצעת החוק תחייב שמנהל משרד הניהול והתקציב יבחן את המדיניות והעקרונות הנוכחיים בנושא אבטחת מידע של סוכנויות אזרחיות פדרליות, וידאג כי מדיניות זו תואמת את ההנחיות החדשות של ה- NIST. הסקירה תדרוש גם תיאום עם מנהל הסוכנות לאבטחת סייבר ותשתיות, או CISA
יתר על כן, יש לעדכן את כללי הרכישה הפדרליים הנוכחיים לרכישה ולבעלות על ציוד IoT בהתאם להנחיות NIST הנדרשות לפרסום לאחר העברת הצעת החוק. כחלק מהדרישות הללו, סוכנות ממשלתית לא תהיה רשאית לרכוש מכשירי IoT אם קצין המידע הראשי של אותה סוכנות ימצא כי מכשיר כזה יחרוג מהכללים. לבסוף, הצעת החוק תדרוש כי NIST תפתח גם הנחיות לגילוי וחשיפה של פגיעויות במכשירי IoT.
החוק לשיפור אבטחת סייבר ב- IoT משנת 2020 מסמן צעד ראשון משמעותי עבור הממשלה הפדרלית להציב תקנות אבטחה על מכשירי IoT. החוק יכול לסייע בהתחלת עתיד שבו יצרני מכשירי IoT יכולים להסתכל על מערכת הנחיות אחת עבור המוצרים שלהם. הצעת החוק אמנם אינה מחייבת החלת תקנים אלה על מכשירים שנרכשו על ידי צרכנים כלליים, אך ההנחיה עצמה עדיין עשויה להועיל ביצירת יעדי אבטחה מוסכמים.
