物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案會(huì)對(duì)物聯(lián)網(wǎng)的發(fā)展產(chǎn)生怎樣的影響
掃描二維碼
隨時(shí)隨地手機(jī)看文章
隨著各國政府尋求解決物聯(lián)網(wǎng)安全問題,世界各地都出現(xiàn)了一系列的監(jiān)管措施。這是一個(gè)積極行動(dòng),表明市場(chǎng)正在成熟,不過物聯(lián)網(wǎng)監(jiān)管并非沒有挑戰(zhàn)。這些監(jiān)管措施不可避免地遭到了那些認(rèn)為它可能會(huì)造成物聯(lián)網(wǎng)廢物堆積如山的人的抵制,而其他人則認(rèn)為它可能會(huì)阻礙創(chuàng)新。
因此,每項(xiàng)立法都略有不同。Pen Test Partners的合伙人肯·芒羅( Ken Munro )表示:這些法規(guī)將決定監(jiān)管的演變,因此我們必須考慮所采取的措施、它們的好處以及不足之處。
1、《2017年物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》(美國):旨在控制美國政府內(nèi)部的物聯(lián)網(wǎng),物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案可能對(duì)物聯(lián)網(wǎng)的發(fā)展產(chǎn)生深遠(yuǎn)影響。法規(guī)要求設(shè)備不得出現(xiàn)NIST漏洞庫中已知的安全漏洞,而且必須支持更新,必須使用固定或硬編碼憑據(jù)進(jìn)行遠(yuǎn)程管理、更新和通信,并且必須披露和修復(fù)漏洞。然而,將漏洞局限于NIST,可能會(huì)出現(xiàn)一些沒有被列出的常見問題,例如,客戶應(yīng)用程序中的SQL注入被忽略。此外,它也沒有認(rèn)識(shí)到許多RF協(xié)議被設(shè)計(jì)為根本不使用憑據(jù),因此需要廢棄或升級(jí)這些設(shè)備以支持更嚴(yán)格的無線協(xié)議。目前該法案尚未通過,其他法案包括智能物聯(lián)網(wǎng)法案、數(shù)字法案、安全物聯(lián)網(wǎng)法案、網(wǎng)絡(luò)防護(hù)法案和物聯(lián)網(wǎng)消費(fèi)者提示法案。
2、《網(wǎng)絡(luò)安全法》(歐盟):自2018年5月起,該立法將使歐洲聯(lián)盟網(wǎng)安全局(ENISA )成為網(wǎng)絡(luò)安全機(jī)構(gòu),并成為認(rèn)證所有歐盟成員國聯(lián)網(wǎng)汽車和智能產(chǎn)品的認(rèn)證框架?!毒W(wǎng)絡(luò)安全法》 只適用于重要的國家基礎(chǔ)設(shè)施。制造商可以要求將其物聯(lián)網(wǎng)設(shè)備按照第46條將認(rèn)證結(jié)果分為3個(gè)等級(jí),分別是基本(basic)、堅(jiān)實(shí)(substantial)、高級(jí)(high)。為了吸引他們,那些進(jìn)入“基本”水平的企業(yè)可以“自己執(zhí)行一致性測(cè)試”。該法案指出,ENISA將有權(quán)發(fā)布針對(duì)供應(yīng)商和制造商的警告,以提高安全性,但沒有提到如何執(zhí)行這一規(guī)定。ENISA也確實(shí)為申訴做了規(guī)定,允許游說者和安全研究人員“吹口哨”并負(fù)責(zé)任地對(duì)外披露。
3、《SB-327》 (美國): SB-327于2018年8月通過,使加州成為美國第一個(gè)管理智能技術(shù)的州。它規(guī)定了消費(fèi)者設(shè)備的一些基本安全標(biāo)準(zhǔn),并將于2020年1月起生效。然而,該法案措辭含糊地提到“旨在保護(hù)”的“適當(dāng)”安全。大多數(shù)設(shè)備可能聲稱已經(jīng)打算保護(hù)設(shè)備/數(shù)據(jù),從而避開了這些要求。它強(qiáng)制規(guī)定了設(shè)備必須設(shè)置唯一的密碼,但無法解決設(shè)備上是否有良好的熵源問題。零售商也免于承擔(dān)責(zé)任,因?yàn)?020年前,市場(chǎng)可能充斥著不合格的設(shè)備,這些設(shè)備沒有明確要求支持更新。
4、《消費(fèi)類物聯(lián)網(wǎng)設(shè)備安全行為準(zhǔn)則》(英國):基于3月份發(fā)起的安全設(shè)計(jì)提案草案,由英國數(shù)字、文化、媒體和體育部(DCMS)發(fā)布的《消費(fèi)類物聯(lián)網(wǎng)設(shè)備安全行為準(zhǔn)則》現(xiàn)在納入了《通用數(shù)據(jù)保護(hù)條例》( GDPR )。雖然范圍廣泛,并為制造商、移動(dòng)應(yīng)用開發(fā)者、服務(wù)提供商和零售商提供指導(dǎo),但這是自愿遵守的。該法案要求不應(yīng)使用默認(rèn)密碼,應(yīng)安全存儲(chǔ)憑據(jù)和安全敏感數(shù)據(jù),并保持軟件更新。雖然它建議使用漏洞披露策略,但它不要求供應(yīng)商發(fā)布修復(fù)程序。盡管如此,這是消費(fèi)者物聯(lián)網(wǎng)安全的一個(gè)非常積極的進(jìn)步。
很顯然,政府當(dāng)局非常贊成采用溫和的方式來解決問題,這就引出了一個(gè)問題:這些法規(guī)會(huì)被自愿遵守嗎?物聯(lián)網(wǎng)供應(yīng)商面臨著將其產(chǎn)品推向市場(chǎng)的巨大壓力,對(duì)于他們來說,采取任何形式的監(jiān)管都需要對(duì)他們有很大好處或者影響。
其實(shí)市場(chǎng)本身可能會(huì)施加更大壓力,通過將易受傷害的智能商品納入貿(mào)易標(biāo)準(zhǔn)規(guī)范,讓消費(fèi)者有權(quán)將其退回,同時(shí)鼓勵(lì)零售部門承諾不銷售易受攻擊的設(shè)備。那么,制造商將會(huì)有更多動(dòng)力妥協(xié)、簽署法案并對(duì)其設(shè)備進(jìn)行測(cè)試。
現(xiàn)在,判斷自我監(jiān)管的有效性還為時(shí)過早,我們需要讓這些法規(guī)生效,同時(shí)也需要讓業(yè)界有機(jī)會(huì)適應(yīng)物聯(lián)網(wǎng)發(fā)展的關(guān)鍵時(shí)刻,只有這樣,我們才能評(píng)估我們需要在哪里采取更加嚴(yán)厲的懲罰措施。