最新的物聯(lián)網(wǎng)法規(guī)是否有足夠覆蓋范圍�?
2018-12-25 09:10 物聯(lián)之家網(wǎng)
導(dǎo)讀:隨著各國政府尋求解決物聯(lián)網(wǎng)安全問題��,世界各地都出現(xiàn)了一系列的監(jiān)管措施�。這是一個積極的行動����,表明市場正在成熟,不過物聯(lián)網(wǎng)監(jiān)管并非沒有挑戰(zhàn)����。
圖片來源:https://pixabay.com/photo-2388500/
譯:驕陽
隨著各國政府尋求解決物聯(lián)網(wǎng)安全問題,世界各地都出現(xiàn)了一系列的監(jiān)管措施���。這是一個積極行動,表明市場正在成熟�����,不過物聯(lián)網(wǎng)監(jiān)管并非沒有挑戰(zhàn)。這些監(jiān)管措施不可避免地遭到了那些認(rèn)為它可能會造成物聯(lián)網(wǎng)廢物堆積如山的人的抵制�����,而其他人則認(rèn)為它可能會阻礙創(chuàng)新�。
因此,每項(xiàng)立法都略有不同����。Pen Test Partners的合伙人肯·芒羅( Ken Munro )表示:這些法規(guī)將決定監(jiān)管的演變,因此我們必須考慮所采取的措施���、它們的好處以及不足之處���。
1、《2017年物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》(美國):旨在控制美國政府內(nèi)部的物聯(lián)網(wǎng)�,物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案可能對物聯(lián)網(wǎng)的發(fā)展產(chǎn)生深遠(yuǎn)影響。法規(guī)要求設(shè)備不得出現(xiàn)NIST漏洞庫中已知的安全漏洞���,而且必須支持更新���,必須使用固定或硬編碼憑據(jù)進(jìn)行遠(yuǎn)程管理、更新和通信�����,并且必須披露和修復(fù)漏洞。然而��,將漏洞局限于NIST�,可能會出現(xiàn)一些沒有被列出的常見問題,例如�����,客戶應(yīng)用程序中的SQL注入被忽略����。此外�,它也沒有認(rèn)識到許多RF協(xié)議被設(shè)計(jì)為根本不使用憑據(jù),因此需要廢棄或升級這些設(shè)備以支持更嚴(yán)格的無線協(xié)議�。目前該法案尚未通過,其他法案包括智能物聯(lián)網(wǎng)法案�����、數(shù)字法案���、安全物聯(lián)網(wǎng)法案�����、網(wǎng)絡(luò)防護(hù)法案和物聯(lián)網(wǎng)消費(fèi)者提示法案����。
2、《網(wǎng)絡(luò)安全法》(歐盟):自2018年5月起�,該立法將使歐洲聯(lián)盟網(wǎng)安全局(ENISA )成為網(wǎng)絡(luò)安全機(jī)構(gòu),并成為認(rèn)證所有歐盟成員國聯(lián)網(wǎng)汽車和智能產(chǎn)品的認(rèn)證框架���?!毒W(wǎng)絡(luò)安全法》 只適用于重要的國家基礎(chǔ)設(shè)施�。制造商可以要求將其物聯(lián)網(wǎng)設(shè)備按照第46條將認(rèn)證結(jié)果分為3個等級,分別是基本(basic)�����、堅(jiān)實(shí)(substantial)���、高級(high)��。為了吸引他們���,那些進(jìn)入“基本”水平的企業(yè)可以“自己執(zhí)行一致性測試”。該法案指出�����,ENISA將有權(quán)發(fā)布針對供應(yīng)商和制造商的警告,以提高安全性�,但沒有提到如何執(zhí)行這一規(guī)定。ENISA也確實(shí)為申訴做了規(guī)定�,允許游說者和安全研究人員“吹口哨”并負(fù)責(zé)任地對外披露���。
3��、《SB-327》 (美國): SB-327于2018年8月通過,使加州成為美國第一個管理智能技術(shù)的州。它規(guī)定了消費(fèi)者設(shè)備的一些基本安全標(biāo)準(zhǔn)�����,并將于2020年1月起生效。然而����,該法案措辭含糊地提到“旨在保護(hù)”的“適當(dāng)”安全���。大多數(shù)設(shè)備可能聲稱已經(jīng)打算保護(hù)設(shè)備/數(shù)據(jù),從而避開了這些要求。它強(qiáng)制規(guī)定了設(shè)備必須設(shè)置唯一的密碼,但無法解決設(shè)備上是否有良好的熵源問題�����。零售商也免于承擔(dān)責(zé)任��,因?yàn)?020年前�����,市場可能充斥著不合格的設(shè)備���,這些設(shè)備沒有明確要求支持更新。
4��、《消費(fèi)類物聯(lián)網(wǎng)設(shè)備安全行為準(zhǔn)則》(英國):基于3月份發(fā)起的安全設(shè)計(jì)提案草案,由英國數(shù)字、文化��、媒體和體育部(DCMS)發(fā)布的《消費(fèi)類物聯(lián)網(wǎng)設(shè)備安全行為準(zhǔn)則》現(xiàn)在納入了《通用數(shù)據(jù)保護(hù)條例》( GDPR )���。雖然范圍廣泛�,并為制造商��、移動應(yīng)用開發(fā)者�、服務(wù)提供商和零售商提供指導(dǎo),但這是自愿遵守的��。該法案要求不應(yīng)使用默認(rèn)密碼�����,應(yīng)安全存儲憑據(jù)和安全敏感數(shù)據(jù)����,并保持軟件更新。雖然它建議使用漏洞披露策略�,但它不要求供應(yīng)商發(fā)布修復(fù)程序。盡管如此����,這是消費(fèi)者物聯(lián)網(wǎng)安全的一個非常積極的進(jìn)步。
很顯然��,政府當(dāng)局非常贊成采用溫和的方式來解決問題����,這就引出了一個問題:這些法規(guī)會被自愿遵守嗎�����?物聯(lián)網(wǎng)供應(yīng)商面臨著將其產(chǎn)品推向市場的巨大壓力,對于他們來說,采取任何形式的監(jiān)管都需要對他們有很大好處……或者影響。
其實(shí)市場本身可能會施加更大壓力��,通過將易受傷害的智能商品納入貿(mào)易標(biāo)準(zhǔn)規(guī)范�,讓消費(fèi)者有權(quán)將其退回,同時鼓勵零售部門承諾不銷售易受攻擊的設(shè)備。那么����,制造商將會有更多動力妥協(xié)����、簽署法案并對其設(shè)備進(jìn)行測試����。
現(xiàn)在��,判斷自我監(jiān)管的有效性還為時過早����,我們需要讓這些法規(guī)生效�����,同時也需要讓業(yè)界有機(jī)會適應(yīng)物聯(lián)網(wǎng)發(fā)展的關(guān)鍵時刻�,只有這樣��,我們才能評估我們需要在哪里采取更加嚴(yán)厲的懲罰措施��。
