新立法旨在為所有連接設(shè)備定義通用網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。這將為已經(jīng)實(shí)施的與物聯(lián)網(wǎng)設(shè)備相關(guān)的歐洲安全標(biāo)準(zhǔn)帶來進(jìn)一步的支持。

每當(dāng)新技術(shù)可用時(shí)，安全和安保立法當(dāng)然必須跟上，任何延遲都可能使消費(fèi)者面臨更高的風(fēng)險(xiǎn)。例如，在英國，第一條高速公路于 1958 年開通，但直到 1965 年發(fā)生了一系列致命車禍，才規(guī)定了限速。

同樣，在當(dāng)今的物聯(lián)網(wǎng)市場中，需要鞏固所涉及的安全標(biāo)準(zhǔn)。這將減輕消費(fèi)者及其財(cái)產(chǎn)因惡意方進(jìn)行的黑客或網(wǎng)絡(luò)犯罪活動(dòng)而面臨的威脅。

安全問題

大多數(shù)消費(fèi)者認(rèn)為，他們可以購買的物聯(lián)網(wǎng)產(chǎn)品中已經(jīng)內(nèi)置了安全性，而無需對(duì)語音助手、智能照明或安全攝像頭進(jìn)行設(shè)置或后續(xù)配置，這些都是現(xiàn)代家庭越來越普遍的功能。但是，情況不一定如此。許多人認(rèn)為；您無需擔(dān)心傳統(tǒng)電視或冰箱的安全性，那么當(dāng)您插入新的智能揚(yáng)聲器時(shí)，為什么要采取不同的行動(dòng)呢？

雖然行業(yè)聯(lián)盟和政府機(jī)構(gòu)已經(jīng)發(fā)布了各種建立最低安全級(jí)別的指南和網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，但并非所有物聯(lián)網(wǎng)設(shè)備制造商和供應(yīng)商都必須實(shí)施它們。這就是為什么我們經(jīng)常聽到有關(guān)智能設(shè)備、醫(yī)療設(shè)備和嬰兒監(jiān)控?cái)z像頭被黑客入侵的故事，人們的隱私受到侵犯，他們的數(shù)據(jù)被盜。

由于物聯(lián)網(wǎng)行業(yè)在安全方面的自我監(jiān)管方面行動(dòng)不夠迅速，世界各國政府都感到有必要介入以確保消費(fèi)者得到充分保護(hù)。研究人員估計(jì)，40.8% 的智能家居中至少有一個(gè)容易受到攻擊的設(shè)備——從 2019 年開始，這個(gè)數(shù)字無疑已經(jīng)增加。

工作中的立法

新的《歐盟網(wǎng)絡(luò)彈性法案》的宣布是一個(gè)充滿希望的開始，但要填寫所有必要的細(xì)節(jié)還有很多工作要做。

技術(shù)法律可能很復(fù)雜，但行業(yè)和消費(fèi)者都必須了解物聯(lián)網(wǎng)安全對(duì)未來監(jiān)管措施的最重要影響：

#1。默認(rèn)安全：政府需要的最重要更改之一是要求物聯(lián)網(wǎng)產(chǎn)品在到達(dá)時(shí)是安全的。新的物聯(lián)網(wǎng)產(chǎn)品應(yīng)該開箱即用，并且已經(jīng)啟用了它們的安全功能。這也意味著，一旦消費(fèi)者將新的物聯(lián)網(wǎng)設(shè)備添加到他們的網(wǎng)絡(luò)中，該設(shè)備就不需要任何進(jìn)一步的配置即可安全使用。就在幾周前，英國政府推出了產(chǎn)品安全和電信基礎(chǔ)設(shè)施法案 (PSTI)這將直接打擊帶有通用默認(rèn)密碼的產(chǎn)品的做法。除了這些設(shè)定的設(shè)備安全要求外，不合規(guī)現(xiàn)在也將導(dǎo)致處罰。這為對(duì)消費(fèi)者產(chǎn)生真正影響打開了大門，因?yàn)槿绻环闲聵?biāo)準(zhǔn)，任何在英國制造或銷售物聯(lián)網(wǎng)設(shè)備的公司的底線都將受到打擊。歐盟可能會(huì)密切關(guān)注該法案對(duì)市場的影響。

#2。威脅建模：物聯(lián)網(wǎng)設(shè)備制造商需要考慮圍繞產(chǎn)品開發(fā)、生產(chǎn)和使用方式的威脅和風(fēng)險(xiǎn)。這需要研究以了解消費(fèi)者將如何操作產(chǎn)品，它將處理什么樣的數(shù)據(jù)，最重要的是，誰可能想要破壞這些數(shù)據(jù)。一旦公司了解誰是最有可能的攻擊者，他們就可以設(shè)計(jì)能夠阻止他們的產(chǎn)品。

#3。違規(guī)準(zhǔn)備和流程：公司必須證明他們可以有效應(yīng)對(duì)網(wǎng)絡(luò)安全事件。他們必須有一個(gè)運(yùn)營安全事件響應(yīng)流程來解決影響其運(yùn)營的事件，以及一個(gè)產(chǎn)品安全事件響應(yīng)流程來幫助客戶解決與產(chǎn)品相關(guān)的安全事件。

#4。終身安全：開發(fā)具有較長部署期的產(chǎn)品的公司必須證明，在這些產(chǎn)品的預(yù)期生命周期內(nèi)，他們可以安全地更新/升級(jí)安全性，以跟上可能出現(xiàn)的任何新威脅。

#5。安全運(yùn)營：技術(shù)制造商必須在自己的運(yùn)營中采用安全實(shí)踐，以確保他們制造的產(chǎn)品是安全的。例如，如果制造商由于疏忽或破壞網(wǎng)絡(luò)安全或缺乏安全管理流程而不斷遇到內(nèi)部安全漏洞，則可以合理地認(rèn)為其自身的產(chǎn)品安全性可能不夠。

#6。供應(yīng)鏈合規(guī)性：公司必須證明他們能夠有效管理影響整個(gè)供應(yīng)鏈的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。必須進(jìn)行定期問責(zé)檢查，以隨著時(shí)間的推移以及威脅的增長和變化來監(jiān)控安全標(biāo)準(zhǔn)的合規(guī)性。

創(chuàng)建常識(shí)性的物聯(lián)網(wǎng)安全立法并不簡單，但它是可以實(shí)現(xiàn)的，毫無疑問是必須要做的。英國政府和歐盟的公告令人鼓舞，并驗(yàn)證了業(yè)內(nèi)許多公司已經(jīng)采取的網(wǎng)絡(luò)安全方法來保護(hù)物聯(lián)網(wǎng)。如果行業(yè)集體分享最佳實(shí)踐，安全技術(shù)專業(yè)人員可以幫助立法者起草法規(guī)，以確保消費(fèi)者數(shù)據(jù)的安全，同時(shí)使物聯(lián)網(wǎng)技術(shù)在我們的日常生活中繼續(xù)蓬勃發(fā)展。

審核編輯 黃昊宇