Itu Institut Standar Telekomunikasi Eropa (ETSI) telah merilis pedoman yang bertujuan untuk memperkuat keamanan siber dan perlindungan data perangkat IoT konsumen.
Dengan meningkatnya jumlah perangkat rumah tangga yang terhubung ke internet, pedoman ini berfungsi sebagai pengingat akan kerentanan yang timbul akibat kenyamanan dan konektivitas.
“Konsumen semakin bergantung pada perangkat yang terhubung untuk melakukan transaksi yang aman, sehingga penting bagi produsen untuk mendapatkan kepercayaan tersebut—dengan memprioritaskan keamanan,” kata Jan Ellsberger, Direktur Jenderal ETSI.
“Pedoman ini bertujuan untuk mengatasi kerentanan yang paling signifikan dan saya yakin bahwa mereka membantu menciptakan ekosistem IoT yang lebih aman, selama kita tetap waspada—menyadari sepenuhnya bahwa pekerjaan ini tidak akan pernah ‘selesai’.”
Mengatasi kelemahan keamanan dasar IoT konsumen
Dokumen tersebut menekankan bahwa mereka tidak bermaksud memberikan solusi menyeluruh untuk setiap masalah keamanan, perlindungan data, dan privasi yang terkait dengan IoT konsumen. Sebaliknya, mereka menargetkan kerentanan yang paling mendesak dan tersebar luas dengan menawarkan “tingkat dasar keamanan dan perlindungan data”.
Menurut laporan tersebut, garis dasar ini dirancang untuk melindungi dari “serangan mendasar terhadap kelemahan desain mendasar, seperti penggunaan kata sandi yang mudah ditebak”.
Ruang lingkup dokumen ini mencakup berbagai perangkat IoT konsumen, mulai dari asisten rumah pintar dan peralatan yang terhubung hingga pelacak kesehatan yang dapat dikenakan dan kamera pintar.
Secara khusus, pedoman ini mempertimbangkan batasan sumber daya perangkat, yang dapat memengaruhi kemampuan keamanan, sebagaimana tercantum dalam laporan: “Sumber daya perangkat yang umum yang mungkin membatasi kemampuan keamanan adalah pasokan energi, bandwidth komunikasi, daya pemrosesan, atau (non-) kapasitas memori yang mudah menguap”.
Langkah-langkah proaktif untuk manajemen kerentanan
Bagian penting dari pedoman ini berpusat pada manajemen kerentanan. ETSI menegaskan perlunya bagi produsen untuk menjaga “kewajiban menjaga konsumen dan pihak ketiga” dengan menerapkan program Pengungkapan Kerentanan Terkoordinasi (CVD).
Inisiatif CVD ini bertujuan untuk memastikan produsen siap menangani kerentanan keamanan secara bertanggung jawab, sehingga melindungi produk mereka dari eksploitasi jahat.
Pedoman tersebut merekomendasikan produsen untuk menerbitkan “kebijakan pengungkapan kerentanan,” yang menetapkan – setidaknya – informasi kontak untuk pelaporan masalah, jadwal penerimaan laporan kerentanan, dan pembaruan status. Transparansi ini dianggap penting untuk menjaga kepercayaan dan efektivitas dalam manajemen kerentanan.
Selalu memperbarui perangkat lunak IoT konsumen
ETSI menyoroti pentingnya memperbarui perangkat lunak dengan patch keamanan terbaru. Dokumen tersebut menggarisbawahi peran produsen dalam memastikan bahwa “semua komponen perangkat lunak di perangkat IoT konsumen yang tidak dapat diubah karena alasan keamanan harus dapat diperbarui dengan aman”. Produsen didesak untuk memisahkan pembaruan keamanan dari pembaruan fitur untuk menghindari komplikasi dan memastikan pengiriman tepat waktu.
Ketika perangkat konsumen semakin melekat pada aspek-aspek penting kehidupan, penyediaan pembaruan dianggap penting untuk menjaga keamanan. “Pembaruan keamanan harus dilakukan tepat waktu,” amanat dokumen tersebut, dan mengakui kompleksitas yang ada dalam penerapan pembaruan tepat waktu.
Memastikan perlindungan data
Selain keamanan siber, perlindungan data tetap menjadi titik fokus pedoman ETSI. Dengan banyaknya perangkat IoT yang memproses data pribadi, pentingnya mengamankan informasi ini tidak dapat dilebih-lebihkan.
Pedoman ETSI menegaskan perlunya produsen untuk memberikan “informasi yang jelas dan transparan tentang data pribadi apa yang diproses dan untuk tujuan apa”.
Pengembang produk IoT didorong untuk menerapkan mekanisme bagi pengguna untuk membatalkan persetujuan pemrosesan data, memastikan kepatuhan terhadap persyaratan peraturan dan perlindungan data pribadi.
Dokumen tersebut juga menetapkan bahwa pengumpulan data harus dibatasi pada apa yang diperlukan untuk fungsi yang diinginkan, dan mengedepankan penggunaan teknik anonimisasi untuk menjaga privasi pengguna.
Mengamankan komunikasi dan penyimpanan
Salah satu ketentuan utamanya adalah komunikasi yang aman dan penyimpanan parameter keamanan penting. Pedoman ETSI menegaskan bahwa “parameter keamanan sensitif dalam penyimpanan persisten harus disimpan dengan aman oleh perangkat IoT konsumen”.
Dengan menggunakan mekanisme seperti penyimpanan terenkripsi dan elemen aman, produsen diharapkan dapat memitigasi risiko yang terkait dengan kompromi parameter keamanan.
Lebih jauh lagi, ETSI menekankan pentingnya komunikasi yang aman pada perangkat IoT konsumen, dengan menyatakan bahwa perangkat ini “harus menggunakan kriptografi praktik terbaik untuk berkomunikasi dengan aman”.
Dengan memprioritaskan penggunaan implementasi kriptografi yang dievaluasi, pedoman ini bertujuan untuk memastikan penanganan data yang aman di seluruh antarmuka jaringan.
Membangun ketahanan terhadap pemadaman listrik
Ketahanan perangkat IoT konsumen terhadap pemadaman listrik, baik pada jaringan data maupun listrik, merupakan aspek penting lainnya yang dibahas dalam pedoman ini.
Produk diharapkan “tetap beroperasi dan berfungsi secara lokal jika terjadi kehilangan akses jaringan dan akan pulih dengan baik jika terjadi pemulihan jika terjadi kehilangan daya”. Ketentuan ini sangat penting dalam menjaga kepercayaan konsumen dan menghindari implikasi keselamatan yang terkait dengan pemadaman perangkat.
Ketika IoT semakin mengakar dalam fungsi-fungsi penting pribadi dan sosial, ketahanan terhadap gangguan tetap menjadi hal yang terpenting.
Pedoman tersebut menekankan keteraturan selama penyambungan kembali jaringan dan mendorong sistem yang meminimalkan permintaan simultan dari perangkat IoT, sehingga mengurangi risiko penolakan layanan.
Ajakan bertindak untuk produsen IoT konsumen
Dengan fokus pada penguatan prinsip-prinsip keamanan dasar, pedoman ETSI bertujuan untuk membantu produsen dalam mengembangkan ekosistem IoT yang lebih aman dan andal.
Laporan ini diakhiri dengan catatan kehati-hatian dan antisipasi, yang mengisyaratkan bahwa seiring dengan perbaikan langkah-langkah keamanan, revisi pedoman di masa depan mungkin memerlukan ketentuan-ketentuan yang direkomendasikan saat ini.
Dengan menetapkan standar-standar ini, ETSI membuka jalan bagi masa depan IoT yang lebih aman, dimana manfaat konektivitas tidak mengorbankan keselamatan dan privasi.
(Gambar oleh Pete Linforth)
Lihat juga: Melakukan jailbreak pada robot AI: Para peneliti membunyikan alarm atas kelemahan keamanan
Ingin belajar tentang IoT dari para pemimpin industri? Memeriksa Pameran Teknologi IoT berlangsung di Amsterdam, California, dan London. Acara komprehensif ini berlokasi bersama dengan acara terkemuka lainnya termasuk Keamanan Cyber & Pameran Cloud, Pameran AI & Data Besar, Konferensi Otomasi Cerdas, Pameran Komputasi TepiDan Pekan Transformasi Digital.
Jelajahi acara dan webinar teknologi perusahaan mendatang lainnya yang didukung oleh TechForge Di Sini.