最新的物聯(lián)網(wǎng)法規(guī)是否有足夠覆蓋范圍��?
2018-12-25 09:10 物聯(lián)之家網(wǎng)
導(dǎo)讀:隨著各國(guó)政府尋求解決物聯(lián)網(wǎng)安全問(wèn)題���,世界各地都出現(xiàn)了一系列的監(jiān)管措施��。這是一個(gè)積極的行動(dòng)����,表明市場(chǎng)正在成熟���,不過(guò)物聯(lián)網(wǎng)監(jiān)管并非沒(méi)有挑戰(zhàn)。
圖片來(lái)源:https://pixabay.com/photo-2388500/
譯:驕陽(yáng)
隨著各國(guó)政府尋求解決物聯(lián)網(wǎng)安全問(wèn)題��,世界各地都出現(xiàn)了一系列的監(jiān)管措施����。這是一個(gè)積極行動(dòng),表明市場(chǎng)正在成熟��,不過(guò)物聯(lián)網(wǎng)監(jiān)管并非沒(méi)有挑戰(zhàn)���。這些監(jiān)管措施不可避免地遭到了那些認(rèn)為它可能會(huì)造成物聯(lián)網(wǎng)廢物堆積如山的人的抵制,而其他人則認(rèn)為它可能會(huì)阻礙創(chuàng)新�。
因此,每項(xiàng)立法都略有不同���。Pen Test Partners的合伙人肯·芒羅( Ken Munro )表示:這些法規(guī)將決定監(jiān)管的演變��,因此我們必須考慮所采取的措施����、它們的好處以及不足之處。
1�����、《2017年物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》(美國(guó)):旨在控制美國(guó)政府內(nèi)部的物聯(lián)網(wǎng)���,物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案可能對(duì)物聯(lián)網(wǎng)的發(fā)展產(chǎn)生深遠(yuǎn)影響��。法規(guī)要求設(shè)備不得出現(xiàn)NIST漏洞庫(kù)中已知的安全漏洞����,而且必須支持更新����,必須使用固定或硬編碼憑據(jù)進(jìn)行遠(yuǎn)程管理、更新和通信�,并且必須披露和修復(fù)漏洞。然而���,將漏洞局限于NIST�,可能會(huì)出現(xiàn)一些沒(méi)有被列出的常見(jiàn)問(wèn)題����,例如�,客戶應(yīng)用程序中的SQL注入被忽略����。此外,它也沒(méi)有認(rèn)識(shí)到許多RF協(xié)議被設(shè)計(jì)為根本不使用憑據(jù)���,因此需要廢棄或升級(jí)這些設(shè)備以支持更嚴(yán)格的無(wú)線協(xié)議����。目前該法案尚未通過(guò)���,其他法案包括智能物聯(lián)網(wǎng)法案����、數(shù)字法案��、安全物聯(lián)網(wǎng)法案�����、網(wǎng)絡(luò)防護(hù)法案和物聯(lián)網(wǎng)消費(fèi)者提示法案�����。
2���、《網(wǎng)絡(luò)安全法》(歐盟):自2018年5月起�,該立法將使歐洲聯(lián)盟網(wǎng)安全局(ENISA )成為網(wǎng)絡(luò)安全機(jī)構(gòu)�,并成為認(rèn)證所有歐盟成員國(guó)聯(lián)網(wǎng)汽車和智能產(chǎn)品的認(rèn)證框架?���!毒W(wǎng)絡(luò)安全法》 只適用于重要的國(guó)家基礎(chǔ)設(shè)施。制造商可以要求將其物聯(lián)網(wǎng)設(shè)備按照第46條將認(rèn)證結(jié)果分為3個(gè)等級(jí)�,分別是基本(basic)、堅(jiān)實(shí)(substantial)�、高級(jí)(high)。為了吸引他們�����,那些進(jìn)入“基本”水平的企業(yè)可以“自己執(zhí)行一致性測(cè)試”����。該法案指出,ENISA將有權(quán)發(fā)布針對(duì)供應(yīng)商和制造商的警告�,以提高安全性,但沒(méi)有提到如何執(zhí)行這一規(guī)定。ENISA也確實(shí)為申訴做了規(guī)定����,允許游說(shuō)者和安全研究人員“吹口哨”并負(fù)責(zé)任地對(duì)外披露。
3�、《SB-327》 (美國(guó)): SB-327于2018年8月通過(guò),使加州成為美國(guó)第一個(gè)管理智能技術(shù)的州��。它規(guī)定了消費(fèi)者設(shè)備的一些基本安全標(biāo)準(zhǔn)�����,并將于2020年1月起生效����。然而,該法案措辭含糊地提到“旨在保護(hù)”的“適當(dāng)”安全�。大多數(shù)設(shè)備可能聲稱已經(jīng)打算保護(hù)設(shè)備/數(shù)據(jù),從而避開(kāi)了這些要求�。它強(qiáng)制規(guī)定了設(shè)備必須設(shè)置唯一的密碼,但無(wú)法解決設(shè)備上是否有良好的熵源問(wèn)題�����。零售商也免于承擔(dān)責(zé)任�����,因?yàn)?020年前���,市場(chǎng)可能充斥著不合格的設(shè)備���,這些設(shè)備沒(méi)有明確要求支持更新。
4�����、《消費(fèi)類物聯(lián)網(wǎng)設(shè)備安全行為準(zhǔn)則》(英國(guó)):基于3月份發(fā)起的安全設(shè)計(jì)提案草案����,由英國(guó)數(shù)字、文化����、媒體和體育部(DCMS)發(fā)布的《消費(fèi)類物聯(lián)網(wǎng)設(shè)備安全行為準(zhǔn)則》現(xiàn)在納入了《通用數(shù)據(jù)保護(hù)條例》( GDPR )。雖然范圍廣泛�����,并為制造商��、移動(dòng)應(yīng)用開(kāi)發(fā)者、服務(wù)提供商和零售商提供指導(dǎo)�,但這是自愿遵守的。該法案要求不應(yīng)使用默認(rèn)密碼�����,應(yīng)安全存儲(chǔ)憑據(jù)和安全敏感數(shù)據(jù)�,并保持軟件更新。雖然它建議使用漏洞披露策略�����,但它不要求供應(yīng)商發(fā)布修復(fù)程序��。盡管如此�����,這是消費(fèi)者物聯(lián)網(wǎng)安全的一個(gè)非常積極的進(jìn)步����。
很顯然,政府當(dāng)局非常贊成采用溫和的方式來(lái)解決問(wèn)題��,這就引出了一個(gè)問(wèn)題:這些法規(guī)會(huì)被自愿遵守嗎��?物聯(lián)網(wǎng)供應(yīng)商面臨著將其產(chǎn)品推向市場(chǎng)的巨大壓力��,對(duì)于他們來(lái)說(shuō)��,采取任何形式的監(jiān)管都需要對(duì)他們有很大好處……或者影響�。
其實(shí)市場(chǎng)本身可能會(huì)施加更大壓力,通過(guò)將易受傷害的智能商品納入貿(mào)易標(biāo)準(zhǔn)規(guī)范�,讓消費(fèi)者有權(quán)將其退回,同時(shí)鼓勵(lì)零售部門承諾不銷售易受攻擊的設(shè)備�。那么,制造商將會(huì)有更多動(dòng)力妥協(xié)����、簽署法案并對(duì)其設(shè)備進(jìn)行測(cè)試。
現(xiàn)在�,判斷自我監(jiān)管的有效性還為時(shí)過(guò)早,我們需要讓這些法規(guī)生效�����,同時(shí)也需要讓業(yè)界有機(jī)會(huì)適應(yīng)物聯(lián)網(wǎng)發(fā)展的關(guān)鍵時(shí)刻�,只有這樣,我們才能評(píng)估我們需要在哪里采取更加嚴(yán)厲的懲罰措施�����。
