政府機構和行業組織一直在嘗試制定規則,以提高物聯網的安全性,但迄今為止還沒有發佈一個更為全面的規則。
物聯網設備很容易被破壞,再加上數據洩露行為可能帶來的極端後果,促使立法機構和監管機構需要儘快採取行動,但最好由哪個組織來決定?
物聯網設備製造商和政府都意識到了物聯網的安全問題,但到目前為止,他們還沒有提出解決這些問題的更好辦法。
調研機構Forrester公司副總裁兼研究總監Merritt Maxim表示:“物聯網市場面臨的挑戰在於發展如此之快,以至沒有任何法規能夠跟上正在連接的物聯網設備的步伐。明確的法規易於實施也很有幫助,但很快就會過時。”
各國政府最近進行的這方面努力是英國的一項擬議法規,該法規將對物聯網設備製造商施加三項主要授權,以解決關鍵的安全問題:
•設備密碼必須是唯一的,並且禁止將其重置為出廠默認值。
•設備製造商必須提供公開的聯繫點以披露漏洞。
•設備製造商必須明確說明設備接收安全更新的最短時間。
該提案是根據上個月生效的加利福尼亞州隱私法律制定的。這兩項法規都可能對物聯網設備的製造產生全球性的影響,即使它們被限制在有限的管轄範圍內。這是因為物聯網設備製造商創建單獨的產品非常昂貴。
物聯網的特定法規並不是唯一對市場產生影響的法規。根據特定設備處理的信息類型,它可能會受到全球正在實施的越來越多的數據隱私法的制約,最顯著的是歐洲的通用數據保護法規(GDPR),以及美國和其他地方的行業特定法規。
Maxim指出,美國食品藥品監督管理局在解決設備安全漏洞方面特別積極。例如,去年它發佈了有關11個漏洞的安全警告,這些漏洞可能會損害物聯網安全供應商Armis公司的醫療物聯網設備。在其他情況下,它對醫療保健提供者處以罰款。
他說,但總體而言,為物聯網設備制定明確的法規存在一個更大的問題,而規範性法規只是敦促物聯網設備製造商採用最佳實踐。
特定的企業可能具有覆蓋其垂直集成產品的集成安全框架,例如一家工業物聯網公司提供跨工廠樓層傳感器的安全性,但在物聯網的多供應商世界中,這種安全性是不完整的。
美國保險商試驗所(UL)正在研究與通用物聯網安全標準最接近的規範,該組織是一家從事安全測試的非營利組織,以其百年曆史的電氣設備認證計劃而聞名。UL的物聯網安全評估計劃提供了一個五個等級的評估系統,用於對物聯網設備的安全性進行評級,其級別從低向高依次為銅、銀、金、白金、鑽石。
獲得銅牌認證意味著物聯網設備已解決了最明顯的安全漏洞,類似於英國和加利福尼亞州近期立法中概述的漏洞。較高的評級包括諸如持續的安全維護,改進的訪問控制和已知威脅測試之類的功能。
Maxim稱,雖然政府監管和自願的行業改進有助於保障未來物聯網系統的安全,但這兩項措施都沒有解決物聯網安全難題中的兩個關鍵問題——大量已經部署的不安全物聯網設備,以及用戶對物聯網設備安全無動於衷。
他警告說:“要求使用非默認密碼的措施很好,但這並不能阻止用戶設置不安全的密碼。而現在面臨的挑戰是,客戶是否在意?他們是否願意為額外的產品與認證支付費用?”
閱讀更多 企業網D1Net 的文章
