安全標準是消費物聯(lián)網(wǎng)的必備條件
隨著越來越多的設備連接起來,物聯(lián)網(wǎng)(IoT)遭受安全威脅的可能性也在增加。這使得全球各地政府部門和監(jiān)管機構都重視起來,開始采取諸如網(wǎng)絡安全立法等行動來保護消費者,同時也激勵制造商優(yōu)先考慮網(wǎng)絡安全。最近,分析機構Omdia的調(diào)研結果也證明了市場對物聯(lián)網(wǎng)設備安全性的剛需:有84%的消費者表示,產(chǎn)品安全性是做出購買決定時的重要考慮因素。
本文引用地址:http://butianyuan.cn/article/202311/452701.htm例如,2022年歐盟就發(fā)布了網(wǎng)絡安全相關的法案,旨在加強歐洲的網(wǎng)絡安全立法。歐盟委員會主席表示:“如果一切事物都是互聯(lián)的,那么一切都可能被黑客攻擊。”也就是說,聯(lián)網(wǎng)設備越多,我們越容易遭受網(wǎng)絡攻擊。考慮到物聯(lián)網(wǎng)基礎設施建設的廣泛性,這無疑讓人擔憂。
新的立法旨在為所有聯(lián)網(wǎng)設備制定通用的網(wǎng)絡安全標準。對于已出臺的與物聯(lián)網(wǎng)設備相關的安全標準來說,新立法將進一步提供支持。
每當新技術出現(xiàn)時,安全和保障立法當然也必須跟上,任何推遲都可能使消費者面臨更高的風險。例如,英國第一條高速公路于1958年開通,但在發(fā)生了一系列致命車禍后,直到1965年才規(guī)定了限速。
同樣地,對于當今的物聯(lián)網(wǎng)市場來說,有必要加強相關的安全標準。這將降低消費者及其財產(chǎn)因惡意黑客攻擊或網(wǎng)絡犯罪活動而面臨的威脅。
安全問題
大多數(shù)消費者認為,他們購買的物聯(lián)網(wǎng)產(chǎn)品已經(jīng)內(nèi)置有安全功能,無需對現(xiàn)代家居中越來越常見的功能如語音助手、智能照明或安全攝像頭等進行設置或后續(xù)配置。然而,事實未必如此。許多人認為:既然沒必要擔心傳統(tǒng)的電視或冰箱的安全性,那么使用新款智能揚聲器時,為什么要采取不同的行動呢?
雖然行業(yè)聯(lián)盟和政府機構已經(jīng)發(fā)布了各種指引和網(wǎng)絡安全標準,對最低安全級別做出了規(guī)定,但并非所有物聯(lián)網(wǎng)設備制造商和供應商都執(zhí)行了這些標準。這就是為什么我們會聽到智能家電、醫(yī)療設備和嬰兒監(jiān)控攝像頭被黑客攻擊,人們的隱私被侵犯、數(shù)據(jù)被竊取這樣的事情時有發(fā)生。
由于物聯(lián)網(wǎng)行業(yè)在安全自律方面行動不夠迅速,世界各地政府不得不介入,以確保消費者權益得到充分保護。據(jù)研究人員估計,40.8%的智能家居中至少有一個設備易受攻擊,而這是2019年的數(shù)據(jù),毫無疑問,該數(shù)字還在繼續(xù)上升。
立法進行時
除了歐盟發(fā)布的網(wǎng)絡安全法案外,世界其他地區(qū)也先后頒布過多項保護網(wǎng)絡安全的法規(guī)或計劃,其中不乏針對消費物聯(lián)網(wǎng)設備安全性的內(nèi)容,這可以使消費者在購物時更具信心。此類網(wǎng)絡安全法案、計劃的發(fā)布帶來了一個充滿希望的開端,但要解決所有必要的細節(jié)問題仍有許多工作要做。
關于技術的立法可能是個復雜的過程,但關鍵是行業(yè)和消費者都必須意識到物聯(lián)網(wǎng)安全和未來的監(jiān)管措施是息息相關的:
(1)默認安全:對于政府來說最需要進行的重要改變之一是要求物聯(lián)網(wǎng)產(chǎn)品在上市時即保證安全。新的物聯(lián)網(wǎng)產(chǎn)品在開箱時就應具備安全使用功能。這也意味著,一旦消費者將新的物聯(lián)網(wǎng)設備添加到其網(wǎng)絡中,該設備應無需任何進一步配置即可安全使用。先前,英國出臺的一部法案直接針對的就是那些出廠時帶有通用默認密碼的產(chǎn)品。除了對設備提出這些規(guī)定的安全要求外,如不遵守該法案還將受到處罰。這將對消費者產(chǎn)生真正的影響,因為在英國,生產(chǎn)或銷售物聯(lián)網(wǎng)設備的任何公司如果不符合新標準,都將受到處罰,對于這些公司而言,這將是最基本的底線。
(2)威脅建模:物聯(lián)網(wǎng)設備制造商需要考慮產(chǎn)品在開發(fā)、生產(chǎn)和使用過程中面臨的威脅和風險。這就需要進行研究,以了解消費者將如何操作產(chǎn)品、產(chǎn)品將處理什么樣的數(shù)據(jù),以及最重要的是誰可能會破壞這些數(shù)據(jù)。一旦企業(yè)了解到誰最有可能是攻擊者,就可以設計出能夠阻止攻擊者的產(chǎn)品。
(3)安全事件的應對和處理流程:企業(yè)必須證明其能夠有效應對網(wǎng)絡安全事件。他們必須具備可運轉(zhuǎn)的安全事件響應流程,以解決影響其運營的事件。同時,還應具備產(chǎn)品安全事件響應流程,以幫助消費者解決與產(chǎn)品相關的安全事件。
(4)終身安全:如果企業(yè)開發(fā)的產(chǎn)品部署周期較長,則必須證明在這些產(chǎn)品的預期生命周期內(nèi),它們的安全性能夠可靠地進行更新/升級,以應對可能出現(xiàn)的任何新威脅。
(5)安全運營:技術制造商必須在自己的運營中采取安全措施,以確保其生產(chǎn)的產(chǎn)品是安全可靠的。例如,如果制造商因疏忽或網(wǎng)絡安全受損或缺乏安全管理流程而不斷出現(xiàn)內(nèi)部安全漏洞,則有理由認為其產(chǎn)品自身的安全性可能存在不足。
(6)供應鏈合規(guī)性:企業(yè)必須證明其能夠有效管理網(wǎng)絡安全風險,因為網(wǎng)絡安全風險會影響整個供應鏈。隨著時間的推移以及威脅不斷地增加和變化,必須進行定期問責檢查,以監(jiān)控安全標準是否合規(guī)。
針對上述網(wǎng)絡安全方面的要求和措施,物聯(lián)網(wǎng)行業(yè)包括芯片和軟件供應商、設備制造商、系統(tǒng)集成商等在內(nèi)的各類廠商都在不斷提高安全意識,優(yōu)化安全功能,以便在未來的物聯(lián)網(wǎng)應用實現(xiàn)中滿足相關法案、規(guī)范和標準的規(guī)定。
Secure Vault、定制化元件制造服務和第三方認證全面提升物聯(lián)網(wǎng)安全
對于Silicon Labs(亦稱“芯科科技”)而言,作為一家專注于物聯(lián)網(wǎng)的公司,我們很早就意識到安全性在物聯(lián)網(wǎng)系統(tǒng)中的重要性,并開發(fā)了業(yè)界領先的Secure VaultTM安全技術,其中包含一整套先進的安全功能,可防止本地和遠程軟件攻擊,本地硬件攻擊,并已通過第三方實驗室的滲透測試。憑借Secure Vault安全組件,芯科科技成為率先獲得PSA/SESIP最高級別3級認證的芯片供應商。此外,芯科科技的定制化元件制造服務(CPMS)和預先認證的技術支持服務也可以幫助設備制造商進一步確保其物聯(lián)網(wǎng)設備的安全。
人們能夠意識到物聯(lián)網(wǎng)安全立法至關重要且并非易事,不過這個目標完全可以實現(xiàn),而且毫無疑問這一目標必須要實現(xiàn)。對于業(yè)內(nèi)許多公司已經(jīng)采取的物聯(lián)網(wǎng)安全措施而言,全球多個地區(qū)發(fā)布的網(wǎng)絡安全相關法案和計劃無疑是一種鼓勵和認可。如果行業(yè)能夠共享最佳實踐,安全技術專家就能夠在立法者起草法規(guī)時提供幫助,在保證消費者數(shù)據(jù)安全的同時,讓物聯(lián)網(wǎng)技術在我們的日常生活中繼續(xù)蓬勃發(fā)展。
評論