政府机构和行业团体一直在努力制定规则以提高物联网安全性,但到目前为止还没有发布更全面的规则。物联网设备很容易受到损害,再加上数据泄露可能带来的极端后果,促使立法者和监管机构需要迅速采取行动,但最好由哪个组织来决定呢?物联网设备制造商和政府意识到物联网安全问题,但到目前为止他们还没有提出更好的解决方案。研究公司Forrester副总裁兼研究总监MerrittMaxim表示:“物联网市场面临的挑战是,它的增长如此之快,以至于没有任何法规能够跟上物联网设备互联的步伐。明确的法规很容易落实也很重要。”有帮助,但很快就会过时。”政府为此所做的最新努力是英国提出的一项法规,该法规将对物联网设备制造商施加三项主要授权,以解决关键的安全问题:设备密码必须是唯一的,不得重置为出厂默认设置。设备制造商必须提供公共联系点以披露漏洞。设备制造商必须明确说明设备接收安全更新的最短时间。该提案遵循上个月生效的加州隐私法。这两项规定可能对物联网设备的制造具有全球影响,即使它们仅限于有限的司法管辖区。这是因为物联网设备制造商创造单个产品的成本非常高。物联网特定法规并不是唯一对物联网产生影响的法规市场。根据特定设备处理的信息类型,它可能会受到越来越多正在实施的数据隐私法的约束世界各地,最著名的是欧洲的通用数据保护条例(GDPR),以及美国和其他地方的行业特定法规。Maxim指出,美国食品和药物管理局在解决设备安全漏洞方面一直特别积极。例如,去年,它发布了关于11个漏洞的安全警告,这些漏洞可能会危及物联网安全供应商Armis的医疗物联网设备。在其他情况下,它对医疗保健提供者处以罚款。但总的来说,为物联网设备制定明确的法规存在更大的问题,而不是仅仅推动物联网设备制造商采用最佳实践的规范性法规,他说。特定企业可能拥有涵盖其垂直集成产品的集成安全框架,例如工业物联网公司在工厂车间跨传感器提供安全性,但在物联网的多供应商世界中,这种安全性是不完整的。UnderwritersLaboratories(UL)正在制定最接近通用物联网安全标准的标准,这是一家进行安全测试的非营利组织,以其具有百年历史的电气设备认证计划而闻名。UL的IoT安全评估计划提供了一个五级评估体系来对IoT设备的安全性进行评级,级别从Bronze、Silver、Gold、Platinum和Diamond升序排列。铜牌认证意味着物联网设备解决了最明显的安全漏洞,类似于英国和加利福尼亚州最近立法中概述的漏洞。更高的评级包括持续的安全维护、改进的访问控制和对已知威胁的测试等功能。Maxim说,虽然政府监管和自愿的行业改进可以帮助保护未来的物联网系统,但这两种措施都没有解决物联网安全难题中的两个关键问题——已经部署的大量不安全的物联网系统。设备和用户对物联网设备的安全性漠不关心。他警告说:“要求非默认密码很好,但这并不能阻止用户设置不安全的密码。现在的挑战是,客户关心吗?他们愿意为额外的产品和认证付费吗?”
