Legislasi adalah satu-satunya cara untuk mengamankan industri IoT
Kami menggunakan perangkat yang terhubung semakin banyak baik di rumah maupun di tempat kerja, dari router nirkabel hingga bel pintu yang terhubung dan sistem keamanan, pencahayaan cerdas dan bahkan pembuat kopi yang pintar. Dan itu baru permulaan. Di Inggris saja, pemerintah telah memperkirakan akan ada lebih dari 420 juta perangkat yang terhubung dalam tiga tahun ke depan.
Menjaga keamanan perangkat ini adalah masalah besar. Tidak ada yang ingin rekaman keamanan kamera rumah mereka diretas, komunikasi yang mereka miliki dengan speaker digital mereka dengarkan, atau email tempat kerja mereka dicegat. Untuk melindungi pengguna, Pemerintah Inggris baru-baru ini mengambil langkah menuju keamanan perangkat IoT yang lebih besar dengan merilis Kode Praktik untuk Keamanan IoT Konsumen.
Kode yang 'kurang gigi'
Kode ini terdiri dari 13 pedoman, tercantum dalam ulasan pemerintah 'Secure oleh Desain' yang diterbitkan oleh DCMS dan National Cyber Security Center (NCSC) pada bulan Maret. Kode diluncurkan dengan dua perusahaan yang disebutkan dalam dukungan – HP dan Centrica Hive – dan kemudian menerima dukungan dari beberapa perusahaan lain, termasuk Samsung. Itu hampir tidak merupakan dukungan kuat dari sektor multi-miliar pound, tapi ini awal.
Lebih mengkhawatirkan lagi, review ini dikritik pada saat peluncuran oleh para ahli teknologi karena 'kekurangan gigi' karena itu opsional.
Talal Rajab, kepala keamanan dunia maya dan cyber di techUK memberi tahu kami organisasinya "sangat mendorong perusahaan untuk mendaftar", dan "akan mengharapkan lebih banyak perusahaan yang mendaftar pada Kode akan maju".
Sebagian besar kit IOT yang kita beli berasal dari apa yang disebut pembuat 'label putih' – produsen yang berbasis di luar Inggris yang membuat kit atau komponen untuk diberi merek dan dijual oleh orang lain. Hal ini menimbulkan pertanyaan apakah kode yang berbasis di Inggris akan memiliki gigi.
Steffen Sorrell, analis utama di Juniper Research, berpendapat bahwa beberapa perusahaan tempat kami membeli sudah mengikuti aturan ketat. "Foxconn, perusahaan Taiwan, memproduksi produk-produk yang keduanya sudah mengikuti kode praktik (iPhone, misalnya) dan diakui aman," jelasnya.
Namun, ia mencatat bahwa jika perangkat dari perusahaan lain yang tidak patuh, memasuki ekosistem IoT Inggris, hampir tidak mungkin meminta pertanggungjawaban produsen tersebut. "Dalam semua kemungkinan, pelanggaran GDPR dan denda akan sulit ditegakkan pada produsen perangkat Cina," kata Sorrell. "Akan ada sedikit insentif untuk mengubah pada bagian dari margin rendah, pemain volume tinggi. Pertandingan akhir harus menjadi undang-undang jika ada dampak nyata."
Namun, untuk kredit Pemerintah Inggris, telah mulai bekerja membangun standar global melalui European Telecommunications Standards Institute (ETSI), berdasarkan kode praktiknya sendiri.
Kita juga harus memperhatikan bahwa negara-negara lain juga aktif di bidang ini. Sebagai contoh, California baru-baru ini pindah untuk memperkenalkan undang-undang baru yang akan mengharuskan produsen untuk memprogram kata sandi default unik, bukan yang terstandarisasi, ke setiap perangkat yang mereka buat mulai 1 Januari 2020.
Menutupi dasar-dasarnya
Jadi, apakah Kode Praktik UK cukup jauh? Steffen Sorrell menjelaskan bahwa sementara kode itu "tentu berguna dalam hal menguraikan tanggung jawab dasar untuk keamanan dan privasi dalam rantai nilai," kode itu sendiri agak mendasar.
"Tidak ada dalam kode yang merekomendasikan penilaian risiko untuk mengidentifikasi tingkat keamanan yang diperlukan perangkat," ia menjelaskan, dan tidak ada tentang "kepercayaan dan perjanjian rantai pasokan."
"Bisakah pemasok komponen dipercaya untuk memelihara driver perangkat lunak, misalnya? Perangkat lunak 'gumpalan' berpemilik inilah yang sering menjadi penyebab perangkat tetap tidak ditonton. Router rumahan merupakan contoh di sini."
Dia menambahkan bahwa agar kode praktik nasional seperti ini menjadi efektif, perlu memasukkan saran praktik terbaik yang lebih mendalam yang dapat disesuaikan berdasarkan audiens target, seperti pasar konsumen dan industri.
Namun, Talal Rajab dari techUK berpendapat bahwa Kode Praktik ini tidak dimaksudkan "untuk memberikan obat mujarab bagi semua ancaman cyber yang didukung IoT yang mempengaruhi semua jenis produk dan layanan IoT", tetapi dirancang untuk hanya mendukung penyedia layanan, pengembang aplikasi dan pengecer dengan langkah praktis.
Informasi eceran dan publik
Kode Praktik ini hanya menandai salah satu dari 13 pedomannya yang terutama relevan untuk pengecer (perlindungan data pribadi). Tetapi apakah pengecer memiliki peran yang lebih besar untuk dimainkan?
Stefan Sorrell berpikir begitu. "Pengecer dapat memainkan peran kunci dalam memberikan informasi yang lebih baik kepada konsumen. Misalnya, menampilkan bahwa produk ini dan itu mematuhi pedoman, dan karenanya direkomendasikan sebagai 'pilihan tepercaya' atau serupa," jelasnya.
"Risiko teknologi dan keamanan telah bergeser begitu cepat selama dekade terakhir sehingga hanya sedikit konsumen yang memahami praktik terbaik keamanan. Produk harus mempromosikan kepatuhan terhadap kode dengan cara yang memungkinkan pengguna akhir memahami manfaatnya dan, mungkin, mengapa mereka membayar sedikit lebih banyak untuk produk. "
Sebagaimana Talal Rajab menjelaskan: "Kode ini menggeser beban untuk menjaga produk dan layanan aman dari konsumen, tetapi mereka jelas memiliki peran penting dan kita perlu memastikan bahwa mereka mendapat informasi. Pengecer sangat penting untuk melakukannya."
