精准农业、用水监测、远程医疗——这些只是物联网(IoT)设备的广泛使用将带来的部分发展。毫无疑问,物联网设备可以改善我们的生活。然而与此同时,IoT设备的使用越来越多,引发了对安全、隐私和信任的担忧,以及为IoT设备制定隐私和安全标准的需求。在过去几年中,国际标准化组织(ISO)、欧洲电信标准协会(ETSI)和美国国家标准与技术研究院(NIST)等标准制定组织发布了各种自愿性物联网安全标准。然而,今天,世界各国政府有望采取更多措施来解决这个问题。监管和制定物联网标准的需要会给新兴的物联网行业带来财务压力。因此,各国政府都在想办法解决物联网行业的问题。例如在芬兰,芬兰国家网络安全中心(NCSC-FI)和私营公司建立了公私合作伙伴关系,为物联网产品创建网络安全标签,让消费者知道正在购买什么设备,而英国则发布了《消费者物联网安全业务守则》。但是,它还不够强大。因此,英国政府已决定制定更具约束力的立法,以确保消费者物联网产品的安全性更强,目前正在进行有关该主题的公众咨询。在新加坡,新加坡网络安全局创建了网络安全标签计划(CLS),提供网络安全等级,以便消费者可以根据其安全等级选择产品。为鼓励制造商申请标签,该机构免除了一年的CLS安全标签申请费。最后,政府监管的最新例子发生在美国,在上周颁布了《物联网网络安全改进法案》。根据这项两党立法:(1)美国国家标准与技术研究院(NIST)将发布联邦政府使用和管理物联网设备的标准和指南,包括最低信息安全要求;(2)管理和预算办公室(OMB)将审查联邦政府的信息安全政策并进行任何必要的更改以确保符合NIST的建议;(3)NIST和OMB必须至少每五年更新一次物联网安全标准、指南和政策;(4)联邦机构将无法使用不符合这些安全要求的物联网设备;(5)NIST将被要求发布与联邦机构信息系统(包括物联网设备)相关的安全漏洞报告指南;(6)OMB将负责制定和实施必要的政策,以解决与联邦机构信息系统(包括物联网设备)相关的安全漏洞,并与NIST发布的指南保持一致;(7)向美国政府提供物联网设备的承包商必须采用协调的漏洞披露政策,以便在发现漏洞时可以发布该信息。简而言之,根据这项法律,NIST将负责为联邦政府制定物联网标准,希望与政府合作的公司必须遵守这些标准。将这些责任交给NIST的决定不足为奇。在过去几年中,NIST发布了各种关于物联网标准的指南和项目,例如保护小型企业和家庭物联网(IoT)设备、保护工业物联网以及物联网设备制造商的基本网络安全活动。此外,该机构被业界和民间社会组织认可为解决这些问题所需的专业机构。但值得注意的是,美国的做法与其他国家政府采取的上述措施不同。首先,这种方法不是直接与物联网设备制造商合作,而是为希望与联邦政府合作的公司提供激励,让他们选择如何开展业务。其次,该立法仅针对联邦拥有或控制的物联网设备,而不是消费者物联网,这也构成了隐私和安全问题的根源。因此,该立法是否会产生连锁反应,甚至导致美国消费者物联网设备的安全和隐私标准发生变化,还有待观察。
