欧盟贸易协会 DigitalEurope 于周三(9 月 8 日)发布的一份报告强调缺乏基础网络安全要求,称现有规则不充分,并呼吁在欧盟努力更新其网络安全立法时进行横向监管。
随着人们家中和日常生活中通过物联网 (IoT) 连接的设备数量迅速增加,网络攻击的脆弱性正在增加。
Euroconsumers 的道德黑客最近进行的一项测试发现,数量惊人的普通智能家居设备(例如 WiFi 路由器、婴儿监视器和警报系统)存在严重缺陷,使它们容易受到可能非常敏感的漏洞的影响。
然而,根据 DigitalEurope 的报告,现有的产品立法在解决网络安全方面存在不足。
“由于其范围和合格评定方法通常旨在解决物理产品功能,现有的产品立法无法正确解决管理或组织方面的问题,这对于更多类型的设备而言更为突出和常见,”
去年 12 月,作为其新的欧盟网络安全战略的一部分,欧盟委员会发起了一项提案,以修订网络和信息安全 (NIS) 指令中设定的网络安全标准,这是欧盟范围内关于该主题的首个立法。
新的立法,即所谓的 NIS2,旨在加强和扩大其前身的监管范围和数量,以应对网络威胁的普遍上升,但也应对大流行引起的对网络和信息依赖的增加所导致的日益严重的脆弱性服务。
大西洋理事会(Atlantic Council)网络和平研究所(cyber Peace Institute)首席公共政策官克拉拉·乔丹(Klara Jordan)表示,当前的网络弹性状态是一个“恶性循环”,既要处理后果,又要减轻威胁,这种恶性循环有可能“破坏对数字生态系统的信任,阻止我们充分利用技术”。这是其在最近的一次网络安全会议上警告。
统一的横向措施
接受 DigitalEurope 报告调查的专家绝大多数警告说,网络安全不应完全或主要将其重点放在与产品相关的功能上,例如密码,而是强调为了充分保护,必须考虑组织要求。
该报告指出,当前的欧盟产品规则基于可物理验证的因素,例如产品的电气特性或制造材料,无法充分应用于网络安全等无形事物。
另一个问题是,目前验证是在产品投放市场的那一刻进行的,在整个生命周期中没有为持续监控留出空间,这是在不断发展的网络安全威胁和漏洞之前保持领先所必需的。
鉴于通用产品和组织基线网络安全要求的比例很高,DigitalEurope 咨询的人一致认为,为连接设备定义这些要求对于确保其整体安全至关重要。
报告称,在该领域实施横向监管是确保立法与标准之间充分联系、协调不同产品和不同领域要求的关键方式。报告警告说,现有的产品立法是不够的。
NIS2 指令的报告员 Bart Groothuis 告诉 EURACTIV,报告中要求的那种横向立法是非常需要的,但不适合当前的 NIS2 提案,他说他已经向委员会提出了一些问题的场合。
“如果没有这样的横向立法,欧盟网络安全战略将是不完整的”,他说。 “委员会应该在尽可能短的时间内提出提案。”
DigitalEurope 表示,如果将现有产品立法用于解决网络安全问题,则应仅限于基本要求,并在横向法规生效后予以废除。
可入侵的房屋
Euroconsumers 的研究展示了这些风险如何在非常个人的层面上影响消费者。
作为他们的“Hackable Home”项目的一部分,两名道德黑客测试了由知名和不太知名的生产商生产的 16 种广泛使用的智能家居设备,总共发现了 54 个漏洞。在试用的 10 个设备中,至少检测到的一个弱点被归类为“高严重性”或“严重”。
“结果令人担忧,”欧洲消费者政策和执行主管埃尔斯·布鲁格曼说。“制造商必须做得更多。这对建立消费者信任至关重要,这将使整个物联网生态系统蓬勃发展。如果它不安全,它就不应该存在。”
调查结果回应了其他团体和专家对目前市场上许多智能设备中发现的潜在风险的担忧。 在许多情况下,密码是弱点,特别是当设备出厂时带有用户通常不会更改的默认登录详细信息。
英国消费者团体今年早些时候,在短短一周内检测到 2,435 次恶意尝试使用弱默认用户名和密码登录“智能家居”设备。