物联网的巨大潜力正在成为现实,但随着采用速度的加快,监管机构和政府组织正在意识到联网设备的危险和风险,如果它们没有考虑到适当的安全性,并相应地以各种形式发布法规。它们可能是由政府和行业团体购买力支持的特定安全授权,也可能作为物联网供应商和最终用户最佳实践的更自愿的一般性指导。
以下是一些最新的全球标准及其对当今制造商的影响的简要更新。
亚洲和南太平洋的最佳做法和标签
在亚洲和南太平洋,一些国家已经为物联网制造商以及使用它们的组织制定了安全建议和最佳做法。
澳大利亚已经制定了一个自愿的物联网网络安全实践守则,其中包含了十几条原则,适用于所有连接到互联网的物联网设备发送和接收数据。该代码侧重于强密码、多因素身份验证和凭证的安全存储。它建议组织制定漏洞披露政策,并为出现的问题指定一个联络点。
新加坡也采取了积极措施,发布了物联网网络安全指南,旨在为企业用户及其供应商提供更好的物联网技术部署指导,包括基本安全设计原则。新加坡还发布了一套物联网标准,作为物联网和传感器网络的技术参考,以解决缺乏任何一致的传感器网络或物联网标准的问题,重点是接口互操作性。该地区的公司正在为智能家居设备建立一个安全标签计划,以便更好地告知消费者。
欧洲和英国的新规定
欧盟和英国的一些政府正在关注物联网设备的相关标准。
例如,英国的数字、文化、媒体和体育部(DCMS)法规确保所有物联网设备都是安全和受保护的。例如,设备的所有密码必须唯一,并且不能重置为默认出厂设置。条例还指示制造商公开提供联系方式,以报告漏洞。
与新加坡一样,负责处理欧盟日常事务的欧盟委员会(EuropeanCommission)也在考虑设立物联网“信任标签”,旨在加强物联网环境中的端到端个人数据保护。
巴西采取自由市场方式
巴西正在实施各种税收改革和其他激励措施,以推动物联网解决方案。最近生效的第14.108/2020号法律将机器对机器(M2M)通信系统的安装和运行检查及许可费降至零。为了刺激该地区工业4.0生态系统的增长和促进其发展,该法律还承诺启动第二产业,包括解决隐私问题的安全解决方案。
美国提供自上而下的领导
美国的主要发展是物联网网络安全改进法案。该法案于2020年签署成为法律,旨在激励企业保护其制造和销售的设备。新法律要求美国国家标准与技术研究所(NIST)为物联网设备的开发、配线、标识和配置管理制定一套新的指南。
与私营企业一样,联邦机构也在部署各种物联网用例。法律要求他们审查采购实践,并采取步骤,以更好地了解他们如何使用物联网在他们的组织内,并考虑与他们的具体应用相关的风险。该法还指示他们在物联网产品和技术的整个采购过程中应用领先的行业最佳做法、政策和程序。
物联网安全需要一致的方法
尽管每个国家和地区都将其独特的优先事项纳入物联网标准,但物联网用例的本质要求它们保持高度的通用性。物联网的定义是平滑、安全的连接,这使得设备制造商在满足市场需求的同时仍需遵守多项政府和行业标准,这是一个挑战。
随着物联网应用的迅速增加,一些行业组织正在采取积极措施,以确保其利益相关者创建的标准不会有太大差异。例如,国际医疗器械监管论坛(IMDRF)建立了一个自愿论坛,将来自世界各地的器械监管机构聚集在一起。他们正在合作制定一项战略计划,以加速国际医疗器械监管的协调和融合。该文件提出了关键的战略重点,并将网络安全、数据完整性和数据安全列为该行业的首要监管挑战。
IMDRF是一个很好的例子,说明了行业利益相关者如何能够共同商定物联网监管的原则。
物联网安全与信任的共同基础
物联网的变革优势在于它能够利用大量数据,并以更有意义的方式加以应用。为了保持其完整性,数据和连接必须以安全的方式进行管理,每一步都必须如此。例如,物联网设备必须连接到从中间件到网关、应用程序和其他类型的服务和设备的所有东西,并在每个步骤进行适当的身份验证。
一旦获得,来自工厂车间、车辆传感器、医疗保健监视器、家用恒温器和无数其他设备的数据必须始终保密。当需要更新物联网设备时,必须对所需的固件数据包进行签名,以确保其完整性。
每一个行业标准都解决了这些类型的需求,以应对物联网中的常见挑战,并且它们需要包含在任何标准中。
公钥基础设施(PKI)技术可以在确保组织的设备和用户得到安全认证方面发挥关键作用,并为他们共享的数据提供强有力的保护,无论这些数据是在传输中还是在静止状态。
好消息是,制造商不必等待将其应用于物联网解决方案。PKI长期以来一直是确保互联网安全的基本标准,并已被广泛应用于各个行业。对于物联网创新者来说,它检查了确保高度信任和安全所需的所有条件。PKI还具有高度的灵活性,这对于支持许多不同的行业特定用例和环境至关重要。
随着新的物联网法规生效,技术制造商和用户将需要确保其最佳实践和流程安全可靠。通过做正确的事情来保护今天的设备,组织可以确定他们已经解决了将成为最新监管指南一部分的漏洞。