物联网设备很容易被破坏,再加上数据泄露行为可能带来的极端后果,促使立法机构和监管机构需要尽快采取行动,但最好由哪个组织来决定?
物联网设备制造商和政府都意识到了物联网的安全问题,但到目前为止,他们还没有提出解决这些问题的更好办法。
调研机构Forrester公司副总裁兼研究总监MerrittMaxim表示:“物联网市场面临的挑战在于发展如此之快,以至没有任何法规能够跟上正在连接的物联网设备的步伐。明确的法规易于实施也很有帮助,但很快就会过时。”
各国政府最近进行的这方面努力是英国的一项拟议法规,该法规将对物联网设备制造商施加三项主要授权,以解决关键的安全问题:
设备密码必须是唯一的,并且禁止将其重置为出厂默认值。
设备制造商必须提供公开的联系点以披露漏洞。
设备制造商必须明确说明设备接收安全更新的最短时间。
该提案是根据上个月生效的加利福尼亚州隐私法律制定的。这两项法规都可能对物联网设备的制造产生全球性的影响,即使它们被限制在有限的管辖范围内。这是因为物联网设备制造商创建单独的产品非常昂贵。
物联网的特定法规并不是唯一对市场产生影响的法规。根据特定设备处理的信息类型,它可能会受到全球正在实施的越来越多的数据隐私法的制约,最显著的是欧洲的通用数据保护法规(GDPR),以及美国和其他地方的行业特定法规。
Maxim指出,美国食品药品监督管理局在解决设备安全漏洞方面特别积极。例如,去年它发布了有关11个漏洞的安全警告,这些漏洞可能会损害物联网安全供应商Armis公司的医疗物联网设备。在其他情况下,它对医疗保健提供者处以罚款。
他说,但总体而言,为物联网设备制定明确的法规存在一个更大的问题,而规范性法规只是敦促物联网设备制造商采用最佳实践。
特定的企业可能具有覆盖其垂直集成产品的集成安全框架,例如一家工业物联网公司提供跨工厂楼层传感器的安全性,但在物联网的多供应商世界中,这种安全性是不完整的。
美国保险商试验所(UL)正在研究与通用物联网安全标准最接近的规范,该组织是一家从事安全测试的非营利组织,以其百年历史的电气设备认证计划而闻名。UL的物联网安全评估计划提供了一个五个等级的评估系统,用于对物联网设备的安全性进行评级,其级别从低向高依次为铜、银、金、白金、钻石。
获得铜牌认证意味着物联网设备已解决了最明显的安全漏洞,类似于英国和加利福尼亚州近期立法中概述的漏洞。较高的评级包括诸如持续的安全维护,改进的访问控制和已知威胁测试之类的功能。
Maxim称,虽然政府监管和自愿的行业改进有助于保障未来物联网系统的安全,但这两项措施都没有解决物联网安全难题中的两个关键问题——大量已经部署的不安全物联网设备,以及用户对物联网设备安全无动于衷。
他警告说:“要求使用非默认密码的措施很好,但这并不能阻止用户设置不安全的密码。而现在面临的挑战是,客户是否在意?他们是否愿意为额外的产品与认证支付费用?”