随着各国政府寻求解决物联网安全问题,世界各地都出现了一系列的监管措施。这是一个积极行动,表明市场正在成熟,不过物联网监管并非没有挑战。这些监管措施不可避免地遭到了那些认为它可能会造成物联网废物堆积如山的人的抵制,而其他人则认为它可能会阻碍创新。
因此,每项立法都略有不同。Pen Test Partners的合伙人肯·芒罗( Ken Munro )表示:这些法规将决定监管的演变,因此我们必须考虑所采取的措施、它们的好处以及不足之处。
1. 《2017年物联网网络安全改进法案》(美国):
旨在控制美国政府内部的物联网,物联网网络安全改进法案可能对物联网的发展产生深远影响。法规要求设备不得出现NIST漏洞库中已知的安全漏洞,而且必须支持更新,必须使用固定或硬编码凭据进行远程管理、更新和通信,并且必须披露和修复漏洞。然而,将漏洞局限于NIST,可能会出现一些没有被列出的常见问题,例如,客户应用程序中的SQL注入被忽略。此外,它也没有认识到许多RF协议被设计为根本不使用凭据,因此需要废弃或升级这些设备以支持更严格的无线协议。目前该法案尚未通过,其他法案包括智能物联网法案、数字法案、安全物联网法案、网络防护法案和物联网消费者提示法案。
2. 《网络安全法》(欧盟):
自2018年5月起,该立法将使欧洲联盟网安全局(ENISA )成为网络安全机构,并成为认证所有欧盟成员国联网汽车和智能产品的认证框架。《网络安全法》 只适用于重要的国家基础设施。制造商可以要求将其物联网设备按照第46条将认证结果分为3个等级,分别是基本(basic)、坚实(substantial)、高级(high)。为了吸引他们,那些进入“基本”水平的企业可以“自己执行一致性测试”。该法案指出,ENISA将有权发布针对供应商和制造商的警告,以提高安全性,但没有提到如何执行这一规定。ENISA也确实为申诉做了规定,允许游说者和安全研究人员“吹口哨”并负责任地对外披露。
3. 《SB-327》 (美国):
SB-327于2018年8月通过,使加州成为美国第一个管理智能技术的州。它规定了消费者设备的一些基本安全标准,并将于2020年1月起生效。然而,该法案措辞含糊地提到“旨在保护”的“适当”安全。大多数设备可能声称已经打算保护设备/数据,从而避开了这些要求。它强制规定了设备必须设置唯一的密码,但无法解决设备上是否有良好的熵源问题。零售商也免于承担责任,因为2020年前,市场可能充斥着不合格的设备,这些设备没有明确要求支持更新。
4. 《消费类物联网设备安全行为准则》(英国):
基于3月份发起的安全设计提案草案,由英国数字、文化、媒体和体育部(DCMS)发布的《消费类物联网设备安全行为准则》现在纳入了《通用数据保护条例》( GDPR )。虽然范围广泛,并为制造商、移动应用开发者、服务提供商和零售商提供指导,但这是自愿遵守的。该法案要求不应使用默认密码,应安全存储凭据和安全敏感数据,并保持软件更新。虽然它建议使用漏洞披露策略,但它不要求供应商发布修复程序。尽管如此,这是消费者物联网安全的一个非常积极的进步。
很显然,政府当局非常赞成采用温和的方式来解决问题,这就引出了一个问题:这些法规会被自愿遵守吗?物联网供应商面临着将其产品推向市场的巨大压力,对于他们来说,采取任何形式的监管都需要对他们有很大好处……或者影响。
其实市场本身可能会施加更大压力,通过将易受伤害的智能商品纳入贸易标准规范,让消费者有权将其退回,同时鼓励零售部门承诺不销售易受攻击的设备。那么,制造商将会有更多动力妥协、签署法案并对其设备进行测试。
现在,判断自我监管的有效性还为时过早,我们需要让这些法规生效,同时也需要让业界有机会适应物联网发展的关键时刻,只有这样,我们才能评估我们需要在哪里采取更加严厉的惩罚措施。