BADBOX 2.0 Perangkat Pintar Mata-Mata Siber

10 Persyaratan Wajib (Non-Negotiable) untuk Keamanan IoT

Perusahaan sangat bergantung pada IoT, namun risiko pihak ketiga sering diabaikan. Tuntut kontrol dasar berikut ini dari setiap vendor:

1. Identitas Perangkat Unik: Setiap perangkat harus memiliki identitas yang aman dan tidak dapat diubah untuk otentikasi sejak dihidupkan pertama kali.
2. Pembaruan Aman & Terverifikasi: Firmware harus diperbarui dengan aman, diverifikasi secara menyeluruh, dan transparan.
3. Verifikasi Identitas Konstan: Perangkat harus terus mengotentikasi identitasnya menggunakan kredensial jangka pendek yang berputar.
4. Eliminasi Backdoor & Kredensial Default: Kata sandi bawaan dan akses tersembunyi vendor tidak dapat diterima.
5. Transparansi Perangkat Lunak Penuh (SBOM): Vendor wajib menyediakan daftar lengkap semua komponen perangkat lunak, termasuk kerentanan yang diketahui.
6. Kontrol Pengguna atas Data: Organisasi harus dapat mengelola bagaimana dan ke mana data perangkat mereka dikirimkan, mempertahankan kontrol tertinggi.
7. Akses Jarak Jauh Terkendali: Akses jarak jauh oleh vendor harus dikontrol secara ketat, dibatasi waktu, dan diaudit sepenuhnya.
8. Pencatatan Anti-Perusakan (Tamper-Proof Logging): Semua log perangkat terkait pembaruan, tindakan administratif, dan peristiwa keamanan harus anti-perusakan dan mudah diakses.
9. Manajemen Siklus Hidup Komprehensif: Vendor harus menyediakan dukungan, patch, dan proses decommissioning (penghapusan dari layanan) yang aman.
10. Mitigasi Kerentanan yang Teridentifikasi: Vendor harus menunjukkan proses yang jelas untuk secara cepat menanggapi dan memperbaiki kerentanan yang ditemukan setelah perangkat dipasarkan.

Persyaratan ini sejalan dengan katalog kebutuhan keamanan siber global, memberikan kerangka kerja yang kuat. Jika vendor tidak dapat memenuhi tuntutan fundamental ini, perangkat tersebut tidak boleh digunakan.

Terapkan Pagar Pengaman Jaringan yang Kuat

Amankan jaringan Anda secara proaktif dari perangkat IoT pihak ketiga dengan:

• Mengisolasi mereka dalam segmen jaringan terpisah.
• Melakukan pemeriksaan latar belakang dan mengontrol transmisi data.
• Memantau aktivitas yang tidak biasa atau perangkat lunak yang tidak disetujui.
• Melakukan audit keamanan secara teratur.

Saat perangkat tidak lagi dibutuhkan, hapus aksesnya dan hapus data sensitifnya. Langkah-langkah ini menciptakan proses berulang yang secara signifikan mengurangi risiko.

Manfaatkan Momentum Regulasi Global

Perusahaan dapat memanfaatkan fokus global yang berkembang pada keamanan IoT untuk memperkuat kontrak mereka:

• UK’s PSTI Act (Undang-Undang Keamanan Produk dan Infrastruktur Telekomunikasi Inggris): Telah melarang kata sandi default universal dan mewajibkan pelaporan kerentanan serta jadwal pembaruan yang jelas untuk perangkat konsumen.
• EU’s Cyber Resilience Act (CRA) Uni Eropa: Menetapkan aturan keamanan siber untuk produk digital, memaksa produsen untuk bertanggung jawab atas keamanan produk mereka sepanjang siklus hidupnya.

Tanyakan kepada vendor bagaimana mereka mematuhi regulasi ini dan bersikeras meminta bukti yang dapat diverifikasi.

Verifikasi Sebelum dan Sesudah Implementasi

Untuk mengatasi risiko IoT pihak ketiga, lakukan uji tuntas (due diligence) vendor yang kuat. Cari laporan uji penetrasi independen dan laporan audit keamanan. Setelah perangkat digunakan, pastikan:

• Pembaruan dilakukan secara aman melalui udara (over-the-air) dengan penandatanganan kriptografik dan verifikasi.
• Pencatatan digunakan untuk respons insiden dan perlindungan rollback (mengembalikan ke firmware sebelumnya).
• Proses decommissioning otomatis untuk menghapus dan menonaktifkan perangkat dari jarak jauh, mencegah “shadow IT” (penggunaan perangkat tanpa persetujuan TI) dan vektor serangan yang tidak ditambal.

Keamanan IoT di Sektor Kesehatan

Di sektor kesehatan, perangkat IoT yang terkompromi menimbulkan risiko yang jauh lebih besar, mulai dari mengekspos data pasien sensitif hingga melumpuhkan operasional rumah sakit.

Perangkat medis (seperti pompa infus, mesin scanner, dan monitor pasien yang terhubung) yang tidak aman dapat dieksploitasi untuk mencuri data rekam medis atau bahkan mengganggu fungsi vital pasien.

Rumah sakit harus menuntut bukti yang ketat dari vendor, memastikan kepatuhan terhadap panduan badan regulasi tentang desain yang aman, SBOM yang komprehensif, kemampuan pembaruan yang terjamin, pencatatan yang menyeluruh, dan dokumentasi terperinci.

Keputusan Pembelian adalah Keputusan Risiko

Mengalahkan risiko yang berkembang dari perangkat IoT pihak ketiga bukanlah sekadar praktik yang baik; ini adalah keharusan sebelum audit berikutnya.

Risiko IoT bukanlah misteri, ini adalah keputusan pembelian. Dengan menuntut pembaruan yang dapat diaudit, dukungan yang transparan, dan pengesahan (attestations) yang ditandatangani, perusahaan dapat mengubah perangkat IoT pihak ketiga dari liabilitas menjadi aset yang kuat. Keamanan berawal dari kebijakan, bukan hanya teknologi.

Sumber berita:

Prosperita IT News