物聯(lián)網(wǎng)的安全應(yīng)該誰(shuí)來(lái)帶頭維護(hù)

時(shí)間：2020-05-03 18:51:02

關(guān)鍵字：物聯(lián)網(wǎng) 物聯(lián)網(wǎng)設(shè)備物聯(lián)網(wǎng)安全 MAXIM

手機(jī)看文章

掃描二維碼
隨時(shí)隨地手機(jī)看文章

[導(dǎo)讀] 政府機(jī)構(gòu)和行業(yè)組織一直在嘗試制定規(guī)則，以提高物聯(lián)網(wǎng)的安全性，但迄今為止還沒(méi)有發(fā)布一個(gè)更為全面的規(guī)則。物聯(lián)網(wǎng)設(shè)備很容易被破壞，再加上數(shù)據(jù)泄露行為可能帶來(lái)的極端后果，促使立法機(jī)構(gòu)和監(jiān)管機(jī)構(gòu)

政府機(jī)構(gòu)和行業(yè)組織一直在嘗試制定規(guī)則，以提高物聯(lián)網(wǎng)的安全性，但迄今為止還沒(méi)有發(fā)布一個(gè)更為全面的規(guī)則。

物聯(lián)網(wǎng)設(shè)備很容易被破壞，再加上數(shù)據(jù)泄露行為可能帶來(lái)的極端后果，促使立法機(jī)構(gòu)和監(jiān)管機(jī)構(gòu)需要盡快采取行動(dòng)，但最好由哪個(gè)組織來(lái)決定？

物聯(lián)網(wǎng)設(shè)備制造商和政府都意識(shí)到了物聯(lián)網(wǎng)的安全問(wèn)題，但到目前為止，他們還沒(méi)有提出解決這些問(wèn)題的更好辦法。

調(diào)研機(jī)構(gòu)Forrester公司副總裁兼研究總監(jiān)Merritt Maxim表示：“物聯(lián)網(wǎng)市場(chǎng)面臨的挑戰(zhàn)在于發(fā)展如此之快，以至沒(méi)有任何法規(guī)能夠跟上正在連接的物聯(lián)網(wǎng)設(shè)備的步伐。明確的法規(guī)易于實(shí)施也很有幫助，但很快就會(huì)過(guò)時(shí)?！?/p>

各國(guó)政府最近進(jìn)行的這方面努力是英國(guó)的一項(xiàng)擬議法規(guī)，該法規(guī)將對(duì)物聯(lián)網(wǎng)設(shè)備制造商施加三項(xiàng)主要授權(quán)，以解決關(guān)鍵的安全問(wèn)題：

?設(shè)備密碼必須是唯一的，并且禁止將其重置為出廠默認(rèn)值。

?設(shè)備制造商必須提供公開(kāi)的聯(lián)系點(diǎn)以披露漏洞。

?設(shè)備制造商必須明確說(shuō)明設(shè)備接收安全更新的最短時(shí)間。

該提案是根據(jù)上個(gè)月生效的加利福尼亞州隱私法律制定的。這兩項(xiàng)法規(guī)都可能對(duì)物聯(lián)網(wǎng)設(shè)備的制造產(chǎn)生全球性的影響，即使它們被限制在有限的管轄范圍內(nèi)。這是因?yàn)槲锫?lián)網(wǎng)設(shè)備制造商創(chuàng)建單獨(dú)的產(chǎn)品非常昂貴。

物聯(lián)網(wǎng)的特定法規(guī)并不是唯一對(duì)市場(chǎng)產(chǎn)生影響的法規(guī)。根據(jù)特定設(shè)備處理的信息類型，它可能會(huì)受到全球正在實(shí)施的越來(lái)越多的數(shù)據(jù)隱私法的制約，最顯著的是歐洲的通用數(shù)據(jù)保護(hù)法規(guī)（GDPR），以及美國(guó)和其他地方的行業(yè)特定法規(guī)。

Maxim指出，美國(guó)食品藥品監(jiān)督管理局在解決設(shè)備安全漏洞方面特別積極。例如，去年它發(fā)布了有關(guān)11個(gè)漏洞的安全警告，這些漏洞可能會(huì)損害物聯(lián)網(wǎng)安全供應(yīng)商Armis公司的醫(yī)療物聯(lián)網(wǎng)設(shè)備。在其他情況下，它對(duì)醫(yī)療保健提供者處以罰款。

他說(shuō)，但總體而言，為物聯(lián)網(wǎng)設(shè)備制定明確的法規(guī)存在一個(gè)更大的問(wèn)題，而規(guī)范性法規(guī)只是敦促物聯(lián)網(wǎng)設(shè)備制造商采用最佳實(shí)踐。

特定的企業(yè)可能具有覆蓋其垂直集成產(chǎn)品的集成安全框架，例如一家工業(yè)物聯(lián)網(wǎng)公司提供跨工廠樓層傳感器的安全性，但在物聯(lián)網(wǎng)的多供應(yīng)商世界中，這種安全性是不完整的。

美國(guó)保險(xiǎn)商試驗(yàn)所（UL）正在研究與通用物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)最接近的規(guī)范，該組織是一家從事安全測(cè)試的非營(yíng)利組織，以其百年歷史的電氣設(shè)備認(rèn)證計(jì)劃而聞名。UL的物聯(lián)網(wǎng)安全評(píng)估計(jì)劃提供了一個(gè)五個(gè)等級(jí)的評(píng)估系統(tǒng)，用于對(duì)物聯(lián)網(wǎng)設(shè)備的安全性進(jìn)行評(píng)級(jí)，其級(jí)別從低向高依次為銅、銀、金、白金、鉆石。

獲得銅牌認(rèn)證意味著物聯(lián)網(wǎng)設(shè)備已解決了最明顯的安全漏洞，類似于英國(guó)和加利福尼亞州近期立法中概述的漏洞。較高的評(píng)級(jí)包括諸如持續(xù)的安全維護(hù)，改進(jìn)的訪問(wèn)控制和已知威脅測(cè)試之類的功能。

Maxim稱，雖然政府監(jiān)管和自愿的行業(yè)改進(jìn)有助于保障未來(lái)物聯(lián)網(wǎng)系統(tǒng)的安全，但這兩項(xiàng)措施都沒(méi)有解決物聯(lián)網(wǎng)安全難題中的兩個(gè)關(guān)鍵問(wèn)題——大量已經(jīng)部署的不安全物聯(lián)網(wǎng)設(shè)備，以及用戶對(duì)物聯(lián)網(wǎng)設(shè)備安全無(wú)動(dòng)于衷。

他警告說(shuō)：“要求使用非默認(rèn)密碼的措施很好，但這并不能阻止用戶設(shè)置不安全的密碼。而現(xiàn)在面臨的挑戰(zhàn)是，客戶是否在意？他們是否愿意為額外的產(chǎn)品與認(rèn)證支付費(fèi)用？”