IoT के लिए नए सुरक्षा नियम

न केवल निजी क्षेत्र में, बल्कि उद्योग में भी अधिक से अधिक उपकरण इंटरनेट से जुड़े हैं। यह उत्पादन को अधिक कुशल और तेजी से स्वचालित बनाता है, जिससे लागत और श्रम की बचत होती है। इंटरनेट ऑफ थिंग्स (IoT - इंटरनेट ऑफ थिंग्स) इसलिए तेजी से फैल रहा है और जुड़े उपकरणों की संख्या में काफी वृद्धि हो रही है।

लेकिन IoT उपकरणों पर बढ़ती निर्भरता के साथ, मजबूत साइबर सुरक्षा उपायों की आवश्यकता और भी जरूरी हो गई है। विधायकों ने इसे माना है। इन उपकरणों पर संग्रहीत महत्वपूर्ण डेटा की सुरक्षा के लिए, दुनिया भर की सरकारों ने IoT उपकरणों की मानक सुरक्षा में सुधार के लिए नियम पेश किए हैं। आपको क्या ध्यान देना है? नियमों पर एक नज़र मदद करता है।

EU और US में IoT नियम

संयुक्त राज्य अमेरिका में, IoT साइबर सुरक्षा सुधार अधिनियम 2020 में पारित किया गया था और राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (NIST) को IoT उपकरणों के लिए एक मानक बनाने का काम सौंपा गया था। मई 2021 में, बिडेन प्रशासन ने राष्ट्रीय आईटी सुरक्षा में सुधार के लिए एक कार्यकारी आदेश पारित किया। फिर, अक्टूबर 2022 में, व्हाइट हाउस ने IoT उपकरणों के लिए एक लेबल पेश करते हुए एक पैम्फलेट जारी किया, जो राउटर और होम कैमरों से शुरू होता है, ताकि उनके सुरक्षा स्तर को इंगित किया जा सके और इसे एक नज़र में देखा जा सके।

यूरोपीय संघ में, यूरोपीय संसद ने साइबर सुरक्षा अधिनियम और साइबर लचीलापन अधिनियम पेश किया, जो किसी उत्पाद को CE चिह्नित करने और यूरोपीय बाजार में रखने से पहले निर्माताओं पर कई आवश्यकताएं लगाता है। इसमें मूल्यांकन और रिपोर्टिंग के चरणों के साथ-साथ पूरे उत्पाद जीवनचक्र में साइबर हमलों या कमजोरियों से निपटना शामिल है। सामान्य डेटा संरक्षण विनियमन (जीडीपीआर) यूरोपीय संघ में काम करने वाली कंपनियों पर भी लागू होता है और उन्हें व्यक्तिगत डेटा की सुरक्षा के लिए उपयुक्त तकनीकी और संगठनात्मक उपायों को लागू करने के लिए बाध्य करता है।

महत्वपूर्ण तत्व

नियमों का पालन करने के लिए, निर्माताओं को निम्नलिखित प्रमुख तत्वों को लागू करना चाहिए:

• सॉफ्टवेयर अपडेट: निर्माताओं को फर्मवेयर अपडेट की संभावना की पेशकश करनी चाहिए और अपडेट की वैधता और अखंडता की गारंटी देनी चाहिए, विशेष रूप से सुरक्षा पैच।
• डेटा की सुरक्षा: विनियम "डेटा न्यूनीकरण" की अवधारणा का पालन करते हैं, अर्थात उपयोगकर्ता की सहमति से केवल आवश्यक डेटा एकत्र किया जाता है, लेकिन संवेदनशील डेटा को सुरक्षित और एन्क्रिप्ट किया जाता है।
• रिसिकोबेवर्टुंग: डेवलपर्स को सीवीई (सामान्य भेद्यताएं और एक्सपोजर) का विश्लेषण करने और नई कमजोरियों के लिए पैच जारी करने सहित डिजाइन और विकास चरण और पूरे उत्पाद जीवनचक्र के दौरान जोखिम प्रबंधन करना चाहिए।
• उपकरण का प्रारूप: उपकरणों को एक डिफ़ॉल्ट सुरक्षा कॉन्फ़िगरेशन के साथ जारी किया जाना चाहिए जो खतरनाक घटकों को हटा देता है, उपयोग में नहीं होने पर इंटरफेस को बंद कर देता है, और "कम से कम विशेषाधिकार के सिद्धांत" के माध्यम से प्रक्रियाओं के लिए हमले की सतह को कम करता है।
• सत्यापन और प्राधिकरण: सेवाओं और संचार के लिए ब्रूट फ़ोर्स लॉगिन हमलों और पासवर्ड जटिलता नीति के विरुद्ध सुरक्षा के साथ प्रमाणीकरण और प्राधिकरण की आवश्यकता होनी चाहिए।
• सुरक्षित संचार: IoT संपत्तियों के बीच संचार को प्रमाणित, एन्क्रिप्ट किया जाना चाहिए और सुरक्षित प्रोटोकॉल और पोर्ट का उपयोग करना चाहिए।

हालाँकि, इन नियमों का अनुपालन उनकी जटिलता के कारण चुनौतीपूर्ण हो सकता है। प्रक्रिया को सरल बनाने के लिए, नियमों को व्यावहारिक चरणों में विभाजित करने के लिए UL MCV 1376, ETSI EN 303 645, ISO 27402 और NIST.IR 8259 जैसे विभिन्न प्रमाणन और मानक पेश किए गए हैं।

जो कंपनियाँ अपने IoT उपकरणों को आसन्न खतरों से बचाना चाहती हैं, इसलिए उन्हें ऐसे समाधानों का उपयोग करना चाहिए जो उनके उपकरणों को न्यूनतम प्रयास से सुरक्षित करते हैं और एक जोखिम मूल्यांकन सेवा शामिल करते हैं जिसे IoT डिवाइस में एम्बेड किया जा सकता है। इस तरह, एक उपकरण को उसके पूरे जीवनकाल में IT खतरों से सुरक्षित रखा जा सकता है। सबसे अच्छे मामले में, समाधान के लिए न्यूनतम संसाधनों की आवश्यकता होनी चाहिए और कोड को बदलने के बिना किसी उत्पाद में एकीकृत करने में सक्षम होना चाहिए। इस तरह, IoT डिवाइस सुरक्षित रूप से काम कर सकते हैं और उनका पूरा फायदा उठा सकते हैं।

Checkpoint.com पर अधिक

 

---

चेक प्वाइंट के बारे में

चेक प्वाइंट सॉफ्टवेयर टेक्नोलॉजीज जीएमबीएच (www.checkpoint.com/de) दुनिया भर में सार्वजनिक प्रशासन और कंपनियों के लिए साइबर सुरक्षा समाधान का एक अग्रणी प्रदाता है। समाधान ग्राहकों को मैलवेयर, रैंसमवेयर और अन्य प्रकार के हमलों की उद्योग-अग्रणी पहचान दर के साथ साइबर हमलों से बचाते हैं। चेक प्वाइंट एक बहुस्तरीय सुरक्षा वास्तुकला प्रदान करता है जो क्लाउड, नेटवर्क और मोबाइल उपकरणों में कॉर्पोरेट जानकारी की सुरक्षा करता है, और सबसे व्यापक और सहज "नियंत्रण का एक बिंदु" सुरक्षा प्रबंधन प्रणाली है। चेक प्वाइंट सभी आकारों के 100.000 से अधिक व्यवसायों की सुरक्षा करता है।

---

 

विषय से संबंधित लेख