圖片來源:https://pixabay.com/photo-2388500/
譯:驕陽
隨著各國政府尋求解決物聯網安全問題,世界各地都出現了一系列的監(jiān)管措施��。這是一個積極行動���,表明市場正在成熟,不過物聯網監(jiān)管并非沒有挑戰(zhàn)�����。這些監(jiān)管措施不可避免地遭到了那些認為它可能會造成物聯網廢物堆積如山的人的抵制����,而其他人則認為它可能會阻礙創(chuàng)新。
因此�����,每項立法都略有不同。Pen Test Partners的合伙人肯·芒羅( Ken Munro )表示:這些法規(guī)將決定監(jiān)管的演變��,因此我們必須考慮所采取的措施�����、它們的好處以及不足之處��。
1���、《2017年物聯網網絡安全改進法案》(美國):旨在控制美國政府內部的物聯網�,物聯網網絡安全改進法案可能對物聯網的發(fā)展產生深遠影響��。法規(guī)要求設備不得出現NIST漏洞庫中已知的安全漏洞����,而且必須支持更新,必須使用固定或硬編碼憑據進行遠程管理����、更新和通信,并且必須披露和修復漏洞�����。然而,將漏洞局限于NIST�,可能會出現一些沒有被列出的常見問題,例如���,客戶應用程序中的SQL注入被忽略����。此外����,它也沒有認識到許多RF協(xié)議被設計為根本不使用憑據,因此需要廢棄或升級這些設備以支持更嚴格的無線協(xié)議����。目前該法案尚未通過�,其他法案包括智能物聯網法案、數字法案�����、安全物聯網法案���、網絡防護法案和物聯網消費者提示法案���。
2���、《網絡安全法》(歐盟):自2018年5月起,該立法將使歐洲聯盟網安全局(ENISA )成為網絡安全機構��,并成為認證所有歐盟成員國聯網汽車和智能產品的認證框架����。《網絡安全法》 只適用于重要的國家基礎設施����。制造商可以要求將其物聯網設備按照第46條將認證結果分為3個等級,分別是基本(basic)���、堅實(substantial)��、高級(high)���。為了吸引他們,那些進入“基本”水平的企業(yè)可以“自己執(zhí)行一致性測試”����。該法案指出����,ENISA將有權發(fā)布針對供應商和制造商的警告���,以提高安全性��,但沒有提到如何執(zhí)行這一規(guī)定���。ENISA也確實為申訴做了規(guī)定,允許游說者和安全研究人員“吹口哨”并負責任地對外披露���。
3����、《SB-327》 (美國): SB-327于2018年8月通過�����,使加州成為美國第一個管理智能技術的州����。它規(guī)定了消費者設備的一些基本安全標準,并將于2020年1月起生效���。然而�����,該法案措辭含糊地提到“旨在保護”的“適當”安全��。大多數設備可能聲稱已經打算保護設備/數據���,從而避開了這些要求。它強制規(guī)定了設備必須設置唯一的密碼����,但無法解決設備上是否有良好的熵源問題。零售商也免于承擔責任����,因為2020年前,市場可能充斥著不合格的設備�,這些設備沒有明確要求支持更新。
4����、《消費類物聯網設備安全行為準則》(英國):基于3月份發(fā)起的安全設計提案草案���,由英國數字、文化�、媒體和體育部(DCMS)發(fā)布的《消費類物聯網設備安全行為準則》現在納入了《通用數據保護條例》( GDPR )。雖然范圍廣泛��,并為制造商��、移動應用開發(fā)者����、服務提供商和零售商提供指導,但這是自愿遵守的�。該法案要求不應使用默認密碼,應安全存儲憑據和安全敏感數據�,并保持軟件更新。雖然它建議使用漏洞披露策略���,但它不要求供應商發(fā)布修復程序���。盡管如此,這是消費者物聯網安全的一個非常積極的進步��。
很顯然,政府當局非常贊成采用溫和的方式來解決問題����,這就引出了一個問題:這些法規(guī)會被自愿遵守嗎����?物聯網供應商面臨著將其產品推向市場的巨大壓力,對于他們來說�,采取任何形式的監(jiān)管都需要對他們有很大好處……或者影響。
其實市場本身可能會施加更大壓力�����,通過將易受傷害的智能商品納入貿易標準規(guī)范��,讓消費者有權將其退回�,同時鼓勵零售部門承諾不銷售易受攻擊的設備。那么�����,制造商將會有更多動力妥協(xié)���、簽署法案并對其設備進行測試�。
現在�,判斷自我監(jiān)管的有效性還為時過早�����,我們需要讓這些法規(guī)生效����,同時也需要讓業(yè)界有機會適應物聯網發(fā)展的關鍵時刻�,只有這樣,我們才能評估我們需要在哪里采取更加嚴厲的懲罰措施��。
