随着各国政府寻求解决物联网安全问题,世界各地正在出台一系列监管措施。这是一个积极的举措,表明市场正在成熟,尽管物联网监管并非没有挑战。这些监管措施不可避免地遭到了一些人的抵制,他们认为这可能会造成大量物联网浪费,而其他人则认为这可能会阻碍创新。因此,每项立法都略有不同。PenTestPartners的合伙人KenMunro表示:“这些规定将决定监管的演变,因此我们必须考虑现有的措施、它们的好处以及它们的不足之处。1.《2017年物联网网络安全改进法案》(United州):旨在控制美国政府内部的物联网,物联网网络安全改进法案可能对物联网的发展产生深远的影响。法规要求设备不存在NIST漏洞存储库中的已知安全漏洞,必须支持更新,必须使用固定或硬编码的凭据进行远程管理、更新和通信,并且必须披露和修复漏洞。但是,将漏洞限制在NIST,可能存在一些未列出的常见问题,例如SQL注入在客户应用程序中被忽略。此外,它无法识别许多RF协议被设计为根本不使用凭证,因此需要报废这些设备或升级以支持更严格的无线协议。该法案尚未通过,其他法案包括《智能物联网法案》、《数字法案》、《安全物联网法案》、《网络保护法案》和《物联网消费者提示法案》。2.《网络安全法》(欧盟):从2018年5月起,该立法将使欧盟网络安全局(ENISA)成为所有欧盟成员国的网络安全机构和认证框架,用于认证联网汽车和智能产品。《网络安全法》仅适用于关键的国家基础设施。制造商可以根据第46条要求将其物联网设备分为3个级别的认证,即基本、实质和高级。为了吸引他们,那些进入“基本”级别的人可以“自己进行一致性测试”。该法案规定,ENISA将有权向供应商和制造商发出警告以提高安全性,但没有说明将如何执行。ENISA也有投诉条款,允许游说者和安全研究人员“举报”并负责任地披露信息。3.《SB-327》(美国):SB-327于2018年8月通过,使加州成为美国第一个规范智能技术的州。它为消费设备制定了一些基本安全标准,并将于2020年1月生效。然而,该法案的措辞含糊地提到了“旨在保护”的“适当”安全。大多数设备可能会声称它们已经打算保护设备/数据,从而回避这些要求。它在设备上强制使用唯一密码,但没有解决设备上具有良好熵源的问题。零售商也免于承担责任,因为2020年之前市场可能会充斥着不明确要求更新支持的不合格设备。4.《消费类物联网设备安全行为准则》(英国):根据3月份推出的安全设计提案草案,英国数字、文化、媒体和体育部(DCMS)发布的《消费类物联网设备安全行为准则》现在纳入了《通用数据保护条例》(GDPR)。虽然范围广泛并为制造商、移动应用开发商、服务提供商和零售商提供指导,但合规性是自愿的。该法案规定不应使用默认密码,应安全存储凭据和安全敏感数据,并应保持软件更新。虽然它推荐了漏洞披露政策,但并不要求供应商发布修复程序。尽管如此,这是在消费者物联网安全方面向前迈出的非常积极的一步。很明显,政府当局非常赞成对这个问题采取更温和的方法,这就引出了一个问题:这些规定会被自愿遵守吗?物联网供应商承受着将产品推向市场的巨大压力,对他们来说,任何形式的监管都需要对他们有很大的好处……或影响。事实上,市场本身可能会施加更大的压力,通过将易受攻击的智能产品纳入贸易标准规范,赋予消费者退货权,同时鼓励零售业承诺不销售易受攻击的设备。制造商将更有动力妥协、签署法案并测试他们的设备。现在判断自律的有效性还为时过早,我们需要让这些法规生效,我们需要给行业一个机会来适应物联网发展的关键时刻,只有这样我们才能评估哪些地方需要采取更严厉的处罚措施。
