全球有哪些物聯(lián)網(wǎng)安全法規(guī)?
物聯(lián)網(wǎng)正在迅速成熟,調(diào)查顯示,在2020-2024年的預(yù)測(cè)期內(nèi),全球物聯(lián)網(wǎng)支出將達(dá)到11.3%的綜合年增長(zhǎng)率(CAGR)。它提供了有希望的利益,正在迅速改變各種行業(yè),包括制造業(yè),醫(yī)療保健,商業(yè)建筑,智能家居,零售和能源。
物聯(lián)網(wǎng)的巨大潛力正在成為現(xiàn)實(shí),但隨著采用速度的加快,監(jiān)管機(jī)構(gòu)和政府組織正在意識(shí)到聯(lián)網(wǎng)設(shè)備的危險(xiǎn)和風(fēng)險(xiǎn),如果它們沒有考慮到適當(dāng)?shù)陌踩裕⑾鄳?yīng)地以各種形式發(fā)布法規(guī)。它們可能是由政府和行業(yè)團(tuán)體購買力支持的特定安全授權(quán),也可能作為物聯(lián)網(wǎng)供應(yīng)商和最終用戶最佳實(shí)踐的更自愿的一般性指導(dǎo)。
以下是一些最新的全球標(biāo)準(zhǔn)及其對(duì)當(dāng)今制造商的影響的簡(jiǎn)要更新。
亞洲和南太平洋的最佳做法和標(biāo)簽
在亞洲和南太平洋,一些國(guó)家已經(jīng)為物聯(lián)網(wǎng)制造商以及使用它們的組織制定了安全建議和最佳做法。
澳大利亞已經(jīng)制定了一個(gè)自愿的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全實(shí)踐守則,其中包含了十幾條原則,適用于所有連接到互聯(lián)網(wǎng)的物聯(lián)網(wǎng)設(shè)備發(fā)送和接收數(shù)據(jù)。該代碼側(cè)重于強(qiáng)密碼、多因素身份驗(yàn)證和憑證的安全存儲(chǔ)。它建議組織制定漏洞披露政策,并為出現(xiàn)的問題指定一個(gè)聯(lián)絡(luò)點(diǎn)。
新加坡也采取了積極措施,發(fā)布了物聯(lián)網(wǎng)網(wǎng)絡(luò)安全指南,旨在為企業(yè)用戶及其供應(yīng)商提供更好的物聯(lián)網(wǎng)技術(shù)部署指導(dǎo),包括基本安全設(shè)計(jì)原則。新加坡還發(fā)布了一套物聯(lián)網(wǎng)標(biāo)準(zhǔn),作為物聯(lián)網(wǎng)和傳感器網(wǎng)絡(luò)的技術(shù)參考,以解決缺乏任何一致的傳感器網(wǎng)絡(luò)或物聯(lián)網(wǎng)標(biāo)準(zhǔn)的問題,重點(diǎn)是接口互操作性。該地區(qū)的公司正在為智能家居設(shè)備建立一個(gè)安全標(biāo)簽計(jì)劃,以便更好地告知消費(fèi)者。
歐洲和英國(guó)的新規(guī)定
歐盟和英國(guó)的一些政府正在關(guān)注物聯(lián)網(wǎng)設(shè)備的相關(guān)標(biāo)準(zhǔn)。
例如,英國(guó)的數(shù)字、文化、媒體和體育部(DCMS)法規(guī)確保所有物聯(lián)網(wǎng)設(shè)備都是安全和受保護(hù)的。例如,設(shè)備的所有密碼必須唯一,并且不能重置為默認(rèn)出廠設(shè)置。條例還指示制造商公開提供聯(lián)系方式,以報(bào)告漏洞。
與新加坡一樣,負(fù)責(zé)處理歐盟日常事務(wù)的歐盟委員會(huì)(EuropeanCommission)也在考慮設(shè)立物聯(lián)網(wǎng)“信任標(biāo)簽”,旨在加強(qiáng)物聯(lián)網(wǎng)環(huán)境中的端到端個(gè)人數(shù)據(jù)保護(hù)。
巴西采取自由市場(chǎng)方式
巴西正在實(shí)施各種稅收改革和其他激勵(lì)措施,以推動(dòng)物聯(lián)網(wǎng)解決方案。最近生效的第14.108/2020號(hào)法律將機(jī)器對(duì)機(jī)器(M2M)通信系統(tǒng)的安裝和運(yùn)行檢查及許可費(fèi)降至零。為了刺激該地區(qū)工業(yè)4.0生態(tài)系統(tǒng)的增長(zhǎng)和促進(jìn)其發(fā)展,該法律還承諾啟動(dòng)第二產(chǎn)業(yè),包括解決隱私問題的安全解決方案。
美國(guó)提供自上而下的領(lǐng)導(dǎo)
美國(guó)的主要發(fā)展是物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案。該法案于2020年簽署成為法律,旨在激勵(lì)企業(yè)保護(hù)其制造和銷售的設(shè)備。新法律要求美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)為物聯(lián)網(wǎng)設(shè)備的開發(fā)、配線、標(biāo)識(shí)和配置管理制定一套新的指南。
與私營(yíng)企業(yè)一樣,聯(lián)邦機(jī)構(gòu)也在部署各種物聯(lián)網(wǎng)用例。法律要求他們審查采購實(shí)踐,并采取步驟,以更好地了解他們?nèi)绾问褂梦锫?lián)網(wǎng)在他們的組織內(nèi),并考慮與他們的具體應(yīng)用相關(guān)的風(fēng)險(xiǎn)。該法還指示他們?cè)谖锫?lián)網(wǎng)產(chǎn)品和技術(shù)的整個(gè)采購過程中應(yīng)用領(lǐng)先的行業(yè)最佳做法、政策和程序。
物聯(lián)網(wǎng)安全需要一致的方法
盡管每個(gè)國(guó)家和地區(qū)都將其獨(dú)特的優(yōu)先事項(xiàng)納入物聯(lián)網(wǎng)標(biāo)準(zhǔn),但物聯(lián)網(wǎng)用例的本質(zhì)要求它們保持高度的通用性。物聯(lián)網(wǎng)的定義是平滑、安全的連接,這使得設(shè)備制造商在滿足市場(chǎng)需求的同時(shí)仍需遵守多項(xiàng)政府和行業(yè)標(biāo)準(zhǔn),這是一個(gè)挑戰(zhàn)。
隨著物聯(lián)網(wǎng)應(yīng)用的迅速增加,一些行業(yè)組織正在采取積極措施,以確保其利益相關(guān)者創(chuàng)建的標(biāo)準(zhǔn)不會(huì)有太大差異。例如,國(guó)際醫(yī)療器械監(jiān)管論壇(IMDRF)建立了一個(gè)自愿論壇,將來自世界各地的器械監(jiān)管機(jī)構(gòu)聚集在一起。他們正在合作制定一項(xiàng)戰(zhàn)略計(jì)劃,以加速國(guó)際醫(yī)療器械監(jiān)管的協(xié)調(diào)和融合。該文件提出了關(guān)鍵的戰(zhàn)略重點(diǎn),并將網(wǎng)絡(luò)安全、數(shù)據(jù)完整性和數(shù)據(jù)安全列為該行業(yè)的首要監(jiān)管挑戰(zhàn)。
IMDRF是一個(gè)很好的例子,說明了行業(yè)利益相關(guān)者如何能夠共同商定物聯(lián)網(wǎng)監(jiān)管的原則。
物聯(lián)網(wǎng)安全與信任的共同基礎(chǔ)
物聯(lián)網(wǎng)的變革優(yōu)勢(shì)在于它能夠利用大量數(shù)據(jù),并以更有意義的方式加以應(yīng)用。為了保持其完整性,數(shù)據(jù)和連接必須以安全的方式進(jìn)行管理,每一步都必須如此。例如,物聯(lián)網(wǎng)設(shè)備必須連接到從中間件到網(wǎng)關(guān)、應(yīng)用程序和其他類型的服務(wù)和設(shè)備的所有東西,并在每個(gè)步驟進(jìn)行適當(dāng)?shù)纳矸蒡?yàn)證。
一旦獲得,來自工廠車間、車輛傳感器、醫(yī)療保健監(jiān)視器、家用恒溫器和無數(shù)其他設(shè)備的數(shù)據(jù)必須始終保密。當(dāng)需要更新物聯(lián)網(wǎng)設(shè)備時(shí),必須對(duì)所需的固件數(shù)據(jù)包進(jìn)行簽名,以確保其完整性。
每一個(gè)行業(yè)標(biāo)準(zhǔn)都解決了這些類型的需求,以應(yīng)對(duì)物聯(lián)網(wǎng)中的常見挑戰(zhàn),并且它們需要包含在任何標(biāo)準(zhǔn)中。
公鑰基礎(chǔ)設(shè)施(PKI)技術(shù)可以在確保組織的設(shè)備和用戶得到安全認(rèn)證方面發(fā)揮關(guān)鍵作用,并為他們共享的數(shù)據(jù)提供強(qiáng)有力的保護(hù),無論這些數(shù)據(jù)是在傳輸中還是在靜止?fàn)顟B(tài)。
好消息是,制造商不必等待將其應(yīng)用于物聯(lián)網(wǎng)解決方案。PKI長(zhǎng)期以來一直是確保互聯(lián)網(wǎng)安全的基本標(biāo)準(zhǔn),并已被廣泛應(yīng)用于各個(gè)行業(yè)。對(duì)于物聯(lián)網(wǎng)創(chuàng)新者來說,它檢查了確保高度信任和安全所需的所有條件。PKI還具有高度的靈活性,這對(duì)于支持許多不同的行業(yè)特定用例和環(huán)境至關(guān)重要。
隨著新的物聯(lián)網(wǎng)法規(guī)生效,技術(shù)制造商和用戶將需要確保其最佳實(shí)踐和流程安全可靠。通過做正確的事情來保護(hù)今天的設(shè)備,組織可以確定他們已經(jīng)解決了將成為最新監(jiān)管指南一部分的漏洞。
