全美物聯(lián)網(wǎng)設(shè)備法案生效，提供合理的安全功能與防護(hù)

時(shí)間：2020-05-07 10:57:01

關(guān)鍵字：防護(hù) 物聯(lián)網(wǎng)設(shè)備 SECURITY 數(shù)據(jù)管理

手機(jī)看文章

掃描二維碼
隨時(shí)隨地手機(jī)看文章

[導(dǎo)讀] 全美第一部針對(duì)物聯(lián)網(wǎng)設(shè)備安全的加州法案SB 327已在2020年1月1日正式生效，即日起要求連接設(shè)備的制造商須提供合理的安全功能，給給消費(fèi)者物聯(lián)網(wǎng)設(shè)備的基本安全防護(hù)。法規(guī)推陳出新，規(guī)范

全美第一部針對(duì)物聯(lián)網(wǎng)設(shè)備安全的加州法案SB 327已在2020年1月1日正式生效，即日起要求連接設(shè)備的制造商須提供合理的安全功能，給給消費(fèi)者物聯(lián)網(wǎng)設(shè)備的基本安全防護(hù)。

法規(guī)推陳出新，規(guī)范標(biāo)準(zhǔn)設(shè)計(jì)顧及公用性

自2018年9月底通過(guò)后，加州法案SB 327《Title 1.81.26. Security of Connected Devices》(下稱(chēng)加州設(shè)備安全法)便持續(xù)受各界矚目，除全美第一部物聯(lián)網(wǎng)設(shè)備專(zhuān)法的代表性外，內(nèi)容未臻完善的部分諸如合理安全(Reasonable Security)之定義、對(duì)HIPAA等法律的豁免性等也引發(fā)不少討論。雖至生效日前加州政府并未有更進(jìn)一步補(bǔ)充，然而經(jīng)由法案頒行，也讓在加州銷(xiāo)售的設(shè)備制造商須于設(shè)計(jì)過(guò)程中確實(shí)提供安全措施，給給消費(fèi)者對(duì)物聯(lián)網(wǎng)設(shè)備的基本安全防護(hù)。

鑒于物聯(lián)網(wǎng)規(guī)范標(biāo)準(zhǔn)陸續(xù)推陳出新，后續(xù)相關(guān)法規(guī)或機(jī)制的設(shè)計(jì)或?qū)⒀永m(xù)與兼容暨存法規(guī)，以提高公用性與國(guó)際對(duì)接，例如俄勒岡州物聯(lián)網(wǎng)設(shè)備安全法(HouseBill2395)即是以加州法案為基礎(chǔ)，僅將設(shè)備的范圍聚焦于個(gè)人家庭，并對(duì)設(shè)備制造商定義略有出入，對(duì)于廠商須具備的安全防護(hù)要求則相似;國(guó)際認(rèn)證單位UL推出的IoTSecurityRaTIng則兼容現(xiàn)行部分法規(guī)框架之要求，以便廠商采用。

UL IoT Security RaTIng符合部分法規(guī)框架要求。(Source：UL;拓?fù)洚a(chǎn)業(yè)研究院整理整理，2020.1)

安全立法現(xiàn)聚焦產(chǎn)品設(shè)計(jì)，或需擴(kuò)大至數(shù)據(jù)管理

觀察近年物聯(lián)網(wǎng)相關(guān)安全規(guī)范與標(biāo)準(zhǔn)，無(wú)論已發(fā)布的EU Cybersecurity Act 2019、US NIST IoT Cybersecurity CapabiliTIes Base line、ETSI TS 103 645，抑或2020年始生效的加州設(shè)備安全法、英國(guó)醞釀中的安全標(biāo)簽等，皆將規(guī)范對(duì)象鎖定在設(shè)備制造商，就設(shè)備之密碼設(shè)置、軟件更新、安全通信、數(shù)據(jù)加密等大方向進(jìn)行管制。此舉將物聯(lián)網(wǎng)安全責(zé)任歸屬延伸至設(shè)計(jì)源頭，通過(guò)官方與民間之機(jī)制消弭物聯(lián)網(wǎng)的最大隱憂，構(gòu)建消費(fèi)者對(duì)物聯(lián)網(wǎng)設(shè)備的信心以壯大市場(chǎng)，對(duì)消費(fèi)者及廠商而言皆有正面影響可期。

物聯(lián)網(wǎng)不僅有設(shè)備被黑客入侵及消費(fèi)者疏于管理的安全議題，于數(shù)據(jù)管理也為風(fēng)險(xiǎn)管控點(diǎn)之一。近期發(fā)生的IoT設(shè)備商Wyze數(shù)據(jù)外泄事件，即是由于員工操作及內(nèi)部管理不當(dāng)，造成240萬(wàn)客戶(hù)數(shù)據(jù)如用戶(hù)名、賬號(hào)、健康信息等暴露于網(wǎng)絡(luò)上長(zhǎng)達(dá)22天;Wyze事件受害者或?qū)⑨槍?duì)所受影響對(duì)企業(yè)提起集體訴訟，但事實(shí)上，現(xiàn)行物聯(lián)網(wǎng)安全法規(guī)雖就設(shè)備設(shè)備多有著墨，然在企業(yè)或平臺(tái)數(shù)據(jù)管理部分卻相對(duì)乏善可陳。

經(jīng)此事件，消費(fèi)者于物聯(lián)網(wǎng)的信任無(wú)疑又蒙了一層灰，故對(duì)政府及企業(yè)而言，當(dāng)物聯(lián)網(wǎng)相關(guān)廠商的商業(yè)模式是建基于信任上時(shí)，相關(guān)立法的對(duì)象除設(shè)備設(shè)計(jì)外，未來(lái)或也將進(jìn)一步擴(kuò)大范圍，將數(shù)據(jù)管理納入規(guī)范對(duì)象。