物联网的巨大潜力正在成为现实,但随着采用速度的加快,监管机构和政府组织已经意识到,如果连接设备的构建没有考虑到适当的安全性,它们会带来危险和风险——并且,作为回应,他们正在发布法规形式多样。它们可能是由政府和行业团体的购买力支持的特定安全要求,或者它们可能是关于物联网供应商和最终用户最佳实践的更自愿的一般指南。
这里简要介绍了一些最新的全球标准及其对当今制造商的影响。
亚洲和南太平洋的最佳实践和标签
在亚洲和南太平洋,一些国家已经为物联网制造商以及使用它们的组织制定了安全建议和最佳实践。
澳大利亚制定了一项自愿的物联网网络安全行为守则,其中包含适用于所有连接到互联网以发送和接收数据的物联网设备的十多项原则。该代码侧重于强密码、多因素身份验证和凭据的安全存储。它建议组织制定漏洞披露政策,并为出现的问题指定一个联系人。
新加坡也采取了积极措施,发布了物联网网络安全指南,旨在为企业用户及其供应商提供更好的物联网技术部署指导,包括基本的安全设计原则。新加坡还发布了一套物联网标准,作为物联网和传感器网络的技术参考,以解决缺乏任何一致的传感器网络或物联网标准的问题,重点是接口互操作性。该地区的公司正在为智能家居设备制定安全标签计划,以更好地通知消费者。
欧洲和英国的新规定
欧盟和英国的一些政府正在关注物联网设备的标准。
例如,英国数字、文化、媒体和体育部(DCMS)的法规确保所有物联网设备的安全和保护。例如,设备的所有密码必须是唯一的,并且不得重置为默认出厂设置。法规还指示制造商公开提供联系方式以报告漏洞。
与新加坡一样,负责处理欧盟日常事务的欧盟委员会也在考虑创建物联网“信任标签”,旨在加强物联网环境中端到端的个人数据保护。
巴西采取自由市场方式
巴西正在应用各种税收改革和其他激励措施来推动物联网解决方案。最近生效的第14.108/2020号法律将机器对机器(M2M)通信系统的安装和运行检查和许可费用降至零。为了刺激该地区工业4.0生态系统的增长和发展,该法律还承诺启动第二产业——包括解决隐私问题的安全解决方案。
美国提供自上而下的领导
美国的主要发展是物联网网络安全改进法案。该立法于2020年签署成为法律,旨在激励公司保护他们制造和销售的设备。新法律要求美国国家标准与技术研究院(NIST)为物联网设备的开发、修补、身份和配置管理制定一套新的指导方针。
与私营行业一样,联邦机构也在部署各种物联网用例。法律要求他们审查采购做法并采取
更好地了解他们如何在组织内使用物联网的步骤,并考虑与其特定应用程序相关的风险。法律还指示他们在物联网产品和技术的整个采购过程中应用领先的行业最佳实践、政策和程序。
物联网安全需要一致的方法
尽管每个国家和地区都有自己独特的物联网标准优先事项,但物联网用例的本质要求它们保持高度的通用性。物联网的定义是流畅、安全的连接,这使得设备制造商在满足市场需求的同时仍遵守多项政府和行业标准具有挑战性。
随着物联网应用的迅速增加,一些行业组织正在采取积极措施,以确保其利益相关者创建的标准不会有太大的不同。例如,国际医疗器械监管机构论坛(IMDRF)建立了一个自愿论坛,汇集了来自世界各地的器械监管机构。他们正在合作制定一项战略计划,以加速国际医疗器械监管的协调和融合。该文件提出了关键的战略重点,并将网络安全、数据完整性和数据安全列为行业最大的监管挑战。
IMDRF是行业利益相关者如何共同商定物联网监管原则的一个很好的例子。
物联网安全和信任的共同基础
物联网的变革优势在于它能够利用大量数据并以更有意义的方式应用它。为了保持其完整性,数据和连接的每一步都必须以安全的方式进行管理。例如,物联网设备必须连接到从中间件到网关、应用程序和其他类型的服务和设备的所有内容,并在每一步都进行正确的身份验证。
来自工厂车间、车辆传感器、医疗保健监视器、家庭恒温器和无数其他设备的数据一旦获得,就必须始终保密。当需要更新IoT设备时,必须对所需的固件数据包进行签名以确保其完整性。
每个行业标准都解决了这些类型的要求,以应对物联网中的常见挑战,并且需要将它们包含在任何标准中。
公钥基础设施(PKI)技术可以在确保组织的设备和用户得到安全身份验证方面发挥关键作用,并为他们共享的数据(无论是传输中的还是静止的)提供强大的保护。
好消息是制造商不必等待将其应用于他们的物联网解决方案。PKI长期以来一直是确保Internet安全的基本标准,并已被广泛的行业广泛采用。对于物联网创新者,它会检查确保高度信任和安全所需的所有框。PKI还非常灵活,这对于支持许多不同的行业特定用例和环境至关重要。
随着新的物联网法规生效,技术制造商和用户需要确保他们的最佳实践和流程安全可靠。通过采取正确的措施来保护当今的设备,组织可以确保他们已经在解决漏洞,这些漏洞将成为最新监管指南的一部分。