全球物聯(lián)網(wǎng)安全法規(guī)有哪些?
物聯(lián)網(wǎng)的巨大潛力正在成為現(xiàn)實,但隨著采用速度的加快,監(jiān)管機構(gòu)和政府組織已經(jīng)意識到,如果連接設(shè)備的構(gòu)建沒有考慮到適當(dāng)?shù)陌踩裕鼈儠砦kU和風(fēng)險——并且,作為回應(yīng),他們正在發(fā)布法規(guī)形式多樣。它們可能是由政府和行業(yè)團體的購買力支持的特定安全要求,或者它們可能是關(guān)于物聯(lián)網(wǎng)供應(yīng)商和最終用戶最佳實踐的更自愿的一般指南。
這里簡要介紹了一些最新的全球標(biāo)準(zhǔn)及其對當(dāng)今制造商的影響。
亞洲和南太平洋的最佳實踐和標(biāo)簽
在亞洲和南太平洋,一些國家已經(jīng)為物聯(lián)網(wǎng)制造商以及使用它們的組織制定了安全建議和最佳實踐。
澳大利亞制定了一項自愿的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全行為守則,其中包含適用于所有連接到互聯(lián)網(wǎng)以發(fā)送和接收數(shù)據(jù)的物聯(lián)網(wǎng)設(shè)備的十多項原則。該代碼側(cè)重于強密碼、多因素身份驗證和憑據(jù)的安全存儲。它建議組織制定漏洞披露政策,并為出現(xiàn)的問題指定一個聯(lián)系人。
新加坡也采取了積極措施,發(fā)布了物聯(lián)網(wǎng)網(wǎng)絡(luò)安全指南,旨在為企業(yè)用戶及其供應(yīng)商提供更好的物聯(lián)網(wǎng)技術(shù)部署指導(dǎo),包括基本的安全設(shè)計原則。新加坡還發(fā)布了一套物聯(lián)網(wǎng)標(biāo)準(zhǔn),作為物聯(lián)網(wǎng)和傳感器網(wǎng)絡(luò)的技術(shù)參考,以解決缺乏任何一致的傳感器網(wǎng)絡(luò)或物聯(lián)網(wǎng)標(biāo)準(zhǔn)的問題,重點是接口互操作性。該地區(qū)的公司正在為智能家居設(shè)備制定安全標(biāo)簽計劃,以更好地通知消費者。
歐洲和英國的新規(guī)定
歐盟和英國的一些政府正在關(guān)注物聯(lián)網(wǎng)設(shè)備的標(biāo)準(zhǔn)。
例如,英國數(shù)字、文化、媒體和體育部(DCMS)的法規(guī)確保所有物聯(lián)網(wǎng)設(shè)備的安全和保護。例如,設(shè)備的所有密碼必須是唯一的,并且不得重置為默認出廠設(shè)置。法規(guī)還指示制造商公開提供聯(lián)系方式以報告漏洞。
與新加坡一樣,負責(zé)處理歐盟日常事務(wù)的歐盟委員會也在考慮創(chuàng)建物聯(lián)網(wǎng)“信任標(biāo)簽”,旨在加強物聯(lián)網(wǎng)環(huán)境中端到端的個人數(shù)據(jù)保護。
巴西采取自由市場方式
巴西正在應(yīng)用各種稅收改革和其他激勵措施來推動物聯(lián)網(wǎng)解決方案。最近生效的第14.108/2020號法律將機器對機器(M2M)通信系統(tǒng)的安裝和運行檢查和許可費用降至零。為了刺激該地區(qū)工業(yè)4.0生態(tài)系統(tǒng)的增長和發(fā)展,該法律還承諾啟動第二產(chǎn)業(yè)——包括解決隱私問題的安全解決方案。
美國提供自上而下的領(lǐng)導(dǎo)
美國的主要發(fā)展是物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進法案。該立法于2020年簽署成為法律,旨在激勵公司保護他們制造和銷售的設(shè)備。新法律要求美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)為物聯(lián)網(wǎng)設(shè)備的開發(fā)、修補、身份和配置管理制定一套新的指導(dǎo)方針。
與私營行業(yè)一樣,聯(lián)邦機構(gòu)也在部署各種物聯(lián)網(wǎng)用例。法律要求他們審查采購做法并采取
更好地了解他們?nèi)绾卧诮M織內(nèi)使用物聯(lián)網(wǎng)的步驟,并考慮與其特定應(yīng)用程序相關(guān)的風(fēng)險。法律還指示他們在物聯(lián)網(wǎng)產(chǎn)品和技術(shù)的整個采購過程中應(yīng)用領(lǐng)先的行業(yè)最佳實踐、政策和程序。
物聯(lián)網(wǎng)安全需要一致的方法
盡管每個國家和地區(qū)都有自己獨特的物聯(lián)網(wǎng)標(biāo)準(zhǔn)優(yōu)先事項,但物聯(lián)網(wǎng)用例的本質(zhì)要求它們保持高度的通用性。物聯(lián)網(wǎng)的定義是流暢、安全的連接,這使得設(shè)備制造商在滿足市場需求的同時仍遵守多項政府和行業(yè)標(biāo)準(zhǔn)具有挑戰(zhàn)性。
隨著物聯(lián)網(wǎng)應(yīng)用的迅速增加,一些行業(yè)組織正在采取積極措施,以確保其利益相關(guān)者創(chuàng)建的標(biāo)準(zhǔn)不會有太大的不同。例如,國際醫(yī)療器械監(jiān)管機構(gòu)論壇(IMDRF)建立了一個自愿論壇,匯集了來自世界各地的器械監(jiān)管機構(gòu)。他們正在合作制定一項戰(zhàn)略計劃,以加速國際醫(yī)療器械監(jiān)管的協(xié)調(diào)和融合。該文件提出了關(guān)鍵的戰(zhàn)略重點,并將網(wǎng)絡(luò)安全、數(shù)據(jù)完整性和數(shù)據(jù)安全列為行業(yè)最大的監(jiān)管挑戰(zhàn)。
IMDRF是行業(yè)利益相關(guān)者如何共同商定物聯(lián)網(wǎng)監(jiān)管原則的一個很好的例子。
物聯(lián)網(wǎng)安全和信任的共同基礎(chǔ)
物聯(lián)網(wǎng)的變革優(yōu)勢在于它能夠利用大量數(shù)據(jù)并以更有意義的方式應(yīng)用它。為了保持其完整性,數(shù)據(jù)和連接的每一步都必須以安全的方式進行管理。例如,物聯(lián)網(wǎng)設(shè)備必須連接到從中間件到網(wǎng)關(guān)、應(yīng)用程序和其他類型的服務(wù)和設(shè)備的所有內(nèi)容,并在每一步都進行正確的身份驗證。
來自工廠車間、車輛傳感器、醫(yī)療保健監(jiān)視器、家庭恒溫器和無數(shù)其他設(shè)備的數(shù)據(jù)一旦獲得,就必須始終保密。當(dāng)需要更新IoT設(shè)備時,必須對所需的固件數(shù)據(jù)包進行簽名以確保其完整性。
每個行業(yè)標(biāo)準(zhǔn)都解決了這些類型的要求,以應(yīng)對物聯(lián)網(wǎng)中的常見挑戰(zhàn),并且需要將它們包含在任何標(biāo)準(zhǔn)中。
公鑰基礎(chǔ)設(shè)施(PKI)技術(shù)可以在確保組織的設(shè)備和用戶得到安全身份驗證方面發(fā)揮關(guān)鍵作用,并為他們共享的數(shù)據(jù)(無論是傳輸中的還是靜止的)提供強大的保護。
好消息是制造商不必等待將其應(yīng)用于他們的物聯(lián)網(wǎng)解決方案。PKI長期以來一直是確保Internet安全的基本標(biāo)準(zhǔn),并已被廣泛的行業(yè)廣泛采用。對于物聯(lián)網(wǎng)創(chuàng)新者,它會檢查確保高度信任和安全所需的所有框。PKI還非常靈活,這對于支持許多不同的行業(yè)特定用例和環(huán)境至關(guān)重要。
隨著新的物聯(lián)網(wǎng)法規(guī)生效,技術(shù)制造商和用戶需要確保他們的最佳實踐和流程安全可靠。通過采取正確的措施來保護當(dāng)今的設(shè)備,組織可以確保他們已經(jīng)在解決漏洞,這些漏洞將成為最新監(jiān)管指南的一部分。
