英國立法會讓消費者物聯(lián)網(wǎng)更加安全嗎
掃描二維碼
隨時隨地手機看文章
我們最近研究了一些來自家庭中智能或連網(wǎng)設(shè)備的安全威脅,以及我們可以采用的解決方案。這些威脅之所以出現(xiàn),是因為當我們購買這些設(shè)備時,它們通常是不安全的。解決方案似乎是顯而易見的——確保設(shè)備在到達我們手里之前是安全的。
因此,需要立法。
我們將物聯(lián)網(wǎng)設(shè)備分為三大類:商業(yè)物聯(lián)網(wǎng)(物聯(lián)網(wǎng),作為商業(yè)IT的一部分使用)、工業(yè)物聯(lián)網(wǎng)(IIOT,作為工業(yè)運營的一部分使用)、消費類物聯(lián)網(wǎng)(我們在家里使用的智能設(shè)備)。
好消息是,世界上許多標準組織都在致力于制定物聯(lián)網(wǎng)標準。壞消息是,只有兩個立法機構(gòu)在認真試圖保護消費者的物聯(lián)網(wǎng)安全,他們是加利福尼亞州和英國。
時任加州州長杰里·布朗于2018年9月簽署了一項網(wǎng)絡(luò)安全法案,即連網(wǎng)設(shè)備安全法案(嚴格來說,是SB327),它將于2020年1月生效。但是,盡管該法案對密碼的要求受到了贊揚,但該法案的其他部分被認為是薄弱的。
法案要求每個生產(chǎn)的設(shè)備都有唯一的密碼,并且要求用戶在首次獲得設(shè)備訪問權(quán)限之前生成新的身份驗證方法。此外,對“合理”和“適當”安全特性的要求被認為實際上毫無意義,因為制造商可能不知道這兩個詞的真正含義。
計劃中的英國立法
這只是計劃中的英國立法。如果可行,它將提高英國及其他地區(qū)智能設(shè)備的安全性。此外,如果可行的話,它還可以為其他國家的類似立法提供一個藍圖,就像歐盟的一般數(shù)據(jù)保護條例(GDPR)正在為新的隱私立法提供全球藍圖一樣。
在本文中,我們將研究擬議中的立法,并考慮其是否有效。
立法
英國有傳統(tǒng)的商業(yè)立法方法。它首先要求自愿遵守可接受的行為準則,通常會明確警告說,如果不自愿采取行動,立法將使其成為強制性的。
2018年10月,數(shù)字、文化、媒體和體育部(DCMS)發(fā)布了《消費類物聯(lián)網(wǎng)設(shè)備行為安全準則》。它包括13條獨立的建議,以確保智能設(shè)備的安全性,從沒有默認密碼到漏洞披露策略,以及方便消費者刪除個人數(shù)據(jù)等。
這些建議的目的是針對結(jié)果的,而不是規(guī)定性的——它們描述了應(yīng)該實現(xiàn)什么,但沒有描述應(yīng)該如何實現(xiàn)。但是,它們比加利福尼亞州立法的要求更為明確。
制造商在很大程度上忽視了英國的自愿行為準則。在商業(yè)上,如果不需要,他們就不會做。今年5月,英國政府開始從自愿向強制過渡。DCMS就政府關(guān)于消費者物聯(lián)網(wǎng)安全的監(jiān)管建議發(fā)布了一份咨詢意見。
政府仍在緩慢推進,但毫無疑問要規(guī)范向家庭銷售智能設(shè)備的意圖。提議遵守行為守則,從前3項開始,分階段引入所有13項要求。這些是:
1、所有物聯(lián)網(wǎng)設(shè)備都應(yīng)該有唯一的密碼,并且不能重置為任何通用出廠默認值。
2、制造商應(yīng)提供公共聯(lián)絡(luò)方式,作為漏洞披露政策的一部分,以便安全研究人員和其他人能夠報告問題。
3、制造商將明確說明產(chǎn)品接收安全更新的最短時間。
磋商,不是是否應(yīng)該執(zhí)行這項法律,而是應(yīng)該如何執(zhí)行。
在這里,英國面臨著所有提議監(jiān)管技術(shù)的相同問題——如何在不妨礙產(chǎn)品創(chuàng)新和商業(yè)運營效率的情況下做到這一點?
英國政府說:“我們意識到抑制創(chuàng)新并對各種類型制造商帶來沉重負擔的風險,這就是為什么我們一直致力于根據(jù)《行為準則》的前3大準則,來定義基本安全的原因所在”。(來自物聯(lián)之家網(wǎng))事實上,監(jiān)管與創(chuàng)新是一種不可調(diào)和的矛盾。
但還有一個問題需要解決:如何對海外制造商實施國家監(jiān)管?最直接的答案是,不能這樣做。因此,政府正在對英國經(jīng)銷商實施監(jiān)管而不是對外國制造商。
實施
目前爭議的焦點是應(yīng)采用三種實施方案中的哪一種。它們都是從制造商的產(chǎn)品安全標簽開始,因為立法禁止在英國銷售沒有制造商安全標簽的產(chǎn)品。
三種實施方案是:
選項一:強制經(jīng)銷商只銷售帶有物聯(lián)網(wǎng)安全標簽的消費類物聯(lián)網(wǎng)產(chǎn)品,制造商可以自行聲明并在其消費類物聯(lián)網(wǎng)產(chǎn)品上張貼安全標簽。
選項二:要求經(jīng)銷商僅銷售符合前3項要求的消費類物聯(lián)網(wǎng)產(chǎn)品,制造商有責任自行聲明其消費類物聯(lián)網(wǎng)產(chǎn)品符合《消費類物聯(lián)網(wǎng)設(shè)備行為安全準則》前3項要求和ETSI TS 103 645標準。
選項三:要求經(jīng)銷商僅銷售帶有標簽的消費類物聯(lián)網(wǎng)產(chǎn)品,該標簽需證明符合《消費類物聯(lián)網(wǎng)設(shè)備行為安全準則》的所有13項要求,制造商應(yīng)自行申報,并確保標簽出現(xiàn)在包裝上。
這就是問題所在,所有這三個選項都要求制造商自行聲明安全性。換句話說,政府正在推行強制性的自愿立法。在其擬議的格式中,這項立法依靠市場力量來執(zhí)行。它不能強迫外國制造商制造安全設(shè)備,但它可以懲罰出售這些設(shè)備的英國經(jīng)銷商。它讓經(jīng)銷商有義務(wù)迫使制造商遵守法規(guī)。
如果我們從立法歷史中學到了什么,那就是制造商和經(jīng)銷商都將遵循阻力最小的要求。
政府的下一步行動將決定這項立法的目的是成功還是失敗。例如,DMCS聲明,“我們打算在議會時間允許的情況下制定主要立法,讓DCMS事務(wù)大臣能夠為強制性標簽計劃設(shè)定要求和/或為在英國銷售的設(shè)備設(shè)定安全要求,這些要求將在二級立法中確立”。
英國的二級立法不需要議會投票——只需要相關(guān)官員的同意即可。DCMS還指出,政府的意圖是強制執(zhí)行《消費類物聯(lián)網(wǎng)設(shè)備行為安全準則》的所有13項內(nèi)容。(來源物聯(lián)之家網(wǎng))一旦這3項初步要求成為法律,從理論上講,政府有可能在接下來的10個月內(nèi),每月要求一項(剩余的10項準則)成為法律,或者說,任何其他被認為相關(guān)的要求。
英國立法會讓消費者物聯(lián)網(wǎng)更加安全嗎?
有用嗎?可能有用,也可能沒用,至少沒有希望的那么有用。
有兩個根本困難。第一是制造商的自我安全聲明。有好主意的、新的、小的制造商將繼續(xù)搶在競爭對手之前把他們的產(chǎn)品推向市場,而匆忙推向市場意味著產(chǎn)品功能的安全性開發(fā)不足。
不安全的產(chǎn)品仍然會進入市場——如果10臺智能設(shè)備中有9臺不讓黑客進入,而第10臺讓黑客進入,那么對消費者來說,意義何在?
第二個問題是:由誰來認證產(chǎn)品是否符合要求?解決此類問題的標準方法是引入強制性第三方認證,而這可以通過二級立法輕松完成。但是,由誰來支付必要的產(chǎn)品測試費用?
如果由制造商來付費,那么他們可能會放棄向英國銷售——英國只是龐大全球市場中的一個而已。
如果由經(jīng)銷商來付費,則有可能會將物聯(lián)網(wǎng)設(shè)備趕出市場,從而讓智能家居設(shè)備在英國市場上短缺。而用戶可能會通過國外網(wǎng)站購買不安全、未經(jīng)測試的外國產(chǎn)品。
政府顯然意識到了這些問題,并希望在分階段實施的同時繁榮市場,而不是一口氣要求太多。不過,也只有時間才能證明它是否成功。
但現(xiàn)實是,這項立法本身并不能解決這些問題。成功的最大希望將是,如果有足夠多的其他國家政府認為這一做法有價值,并頒布了要求采取同樣措施的立法。(來自iothome)只有這樣,才能迫使所有制造商構(gòu)建安全的消費類物聯(lián)網(wǎng)設(shè)備。
與此同時,我們所有人都有責任采取我們所能采取的預(yù)防措施,而不是假設(shè)我們購買的設(shè)備是安全的。正如Avast和斯坦福大學的最新研究表明,我們發(fā)現(xiàn)物聯(lián)網(wǎng)世界中仍有很多地方?jīng)]有受到保護。
來源;物聯(lián)網(wǎng)之家