政府机构和行业组织一直在尝试制定规则, 以提高物联网的安全性, 但迄今为止还没有发布一个更为全面的规则.
物联网设备很容易被破坏, 再加上数据泄露行为可能带来的极端后果, 促使立法机构和监管机构需要尽快采取行动, 但最好由哪个组织来决定?
物联网设备制造商和政府都意识到了物联网的安全问题, 但到目前为止, 他们还没有提出解决这些问题的更好办法.
调研机构 Forrester 公司副总裁兼研究总监 Merritt Maxim 表示:"物联网市场面临的挑战在于发展如此之快, 以至没有任何法规能够跟上正在连接的物联网设备的步伐. 明确的法规易于实施也很有帮助, 但很快就会过时."
各国政府最近进行的这方面努力是英国的一项拟议法规, 该法规将对物联网设备制造商施加三项主要授权, 以解决关键的安全问题:
设备密码必须是唯一的, 并且禁止将其重置为出厂默认值.
设备制造商必须提供公开的联系点以披露漏洞.
设备制造商必须明确说明设备接收安全更新的最短时间.
该提案是根据上个月生效的加利福尼亚州隐私法律制定的. 这两项法规都可能对物联网设备的制造产生全球性的影响, 即使它们被限制在有限的管辖范围内. 这是因为物联网设备制造商创建单独的产品非常昂贵.
物联网的特定法规并不是唯一对市场产生影响的法规. 根据特定设备处理的信息类型, 它可能会受到全球正在实施的越来越多的数据隐私法的制约, 最显著的是欧洲的通用数据保护法规(GDPR), 以及美国和其他地方的行业特定法规.
Maxim 指出, 美国食品药品监督管理局在解决设备安全漏洞方面特别积极. 例如, 去年它发布了有关 11 个漏洞的安全警告, 这些漏洞可能会损害物联网安全供应商 Armis 公司的医疗物联网设备. 在其他情况下, 它对医疗保健提供者处以罚款.
他说, 但总体而言, 为物联网设备制定明确的法规存在一个更大的问题, 而规范性法规只是敦促物联网设备制造商采用最佳实践.
特定的企业可能具有覆盖其垂直集成产品的集成安全框架, 例如一家工业物联网公司提供跨工厂楼层传感器的安全性, 但在物联网的多供应商世界中, 这种安全性是不完整的.
美国保险商试验所 (UL) 正在研究与通用物联网安全标准最接近的规范, 该组织是一家从事安全测试的非营利组织, 以其百年历史的电气设备认证计划而闻名. UL 的物联网安全评估计划提供了一个五个等级的评估系统, 用于对物联网设备的安全性进行评级, 其级别从低向高依次为铜, 银, 金, 白金, 钻石.
获得铜牌认证意味着物联网设备已解决了最明显的安全漏洞, 类似于英国和加利福尼亚州近期立法中概述的漏洞. 较高的评级包括诸如持续的安全维护, 改进的访问控制和已知威胁测试之类的功能.
Maxim 称, 虽然政府监管和自愿的行业改进有助于保障未来物联网系统的安全, 但这两项措施都没有解决物联网安全难题中的两个关键问题 -- 大量已经部署的不安全物联网设备, 以及用户对物联网设备安全无动于衷.
他警告说:"要求使用非默认密码的措施很好, 但这并不能阻止用户设置不安全的密码. 而现在面临的挑战是, 客户是否在意? 他们是否愿意为额外的产品与认证支付费用?"
来源: http://iot.51cto.com/art/202003/611937.htm