物聯網(IoT)的指數級增長產生了令人驚嘆的統計數據。

例如，國際數據公司總裁弗農特納預測，到2025年將有800億臺設備連接到互聯網——這可能意味著每分鐘有152,200臺物聯網設備連接。

但強大的力量帶來了巨大的責任。隨著潛在攻擊面呈指數級增長，從政府到公司再到個人，每個人面臨的風險成倍增加。例如，安全情報報告稱，Mozi僵尸網絡最近推動物聯網攻擊增加了500%。

為了在這個剛剛起步的行業中對抗和控制這些風險，美國聯邦政府推出了物聯網網絡安全立法，這將對2021年及以后的物聯網產品團隊產生深遠的影響。

事實上，它創建了一個每個人都必須滿足的事實上的基線網絡安全標準。

在這篇令人大開眼界的本文中，您會發現：

• 新的網絡安全標準是什么
• 它如何影響您
• 你能做些什么
• 值得注意的國際網絡安全標準

假設您參與了任何IoT設備的設計、制造和營銷。在這種情況下，無論是針對公共部門組織還是針對個人——合規性對于證明您的產品的可行性至關重要。

這篇博文揭示了您現在需要知道的一切。

它是什么?

以下是新的物聯網網絡安全標準的細分：

• 2020年物聯網網絡安全改進法案要求各機構為聯邦政府擁有的物聯網設備提供更強大的網絡安全。
• 盡管其范圍似乎有限，但該法案的條款包括美國國家標準與技術研究院(NIST)制定補充安全標準和指導方針，以適當使用和管理所有相關物聯網設備——包括建立最低網絡安全要求以管理風險。
• 從表面上看，該立法僅涉及在2022年12月遵守NIST指南成為強制性要求時供應或競標政府合同的物聯網設備承包商。但由于美國政府是世界上最大的消費者之一，其最低標準將級聯整個行業，并為所有連接的設備創建新的安全和標簽事實上的標準。簡而言之，所有物聯網設備制造商都應注意NIST物聯網網絡標準——即使您只專注于私人消費市場。

它會影響誰?

合規性將滲透到專注于工業和家庭物聯網產品的產品團隊。但是，如果您是一家向聯邦政府提供產品和服務的物聯網制造商(或正在考慮這樣做)，那么您現在就需要注意了。

澄清一下，如果您參與開發以下產品，這可能意味著您：

• 美國農業部(USDA)可能正在使用的智能農業物聯網設備——例如無人機、運動探測器、光探測器、智能灌溉系統以及用于作物和牲畜管理的基于云的數據分析工具。
• 屬于環境保護署(EPA)職權范圍內的水質物聯網設備——例如浮標上的傳感器，用于監測水質和是否存在對海洋生物和人類有害的物質。
• 對運輸安全管理局(TSA)有用的物聯網乘客處理、安全和監控產品的安全，例如智能安全攝像頭、面部識別設備和自動檢查站。

它如何影響?

簡而言之，物聯網網絡安全改進法案(2020)和隨后的NIST標準要求網絡安全是物聯網產品整個生命周期中的重中之重。

這些關鍵組件闡明了您的物聯網產品團隊可能需要如何適應：

• 物聯網設備的NIST標準和指南將涵蓋安全開發、修補和配置管理以及身份管理。這將制定一項新的國家標準，以解決(除其他問題外)因無效設置安全設備密碼而造成的長期漏洞。
• NIST關于物聯網設備漏洞披露的指導方針意味著將有嚴格的指導方針來報告聯邦機構擁有或控制的任何物聯網設備中的所有網絡安全漏洞。報告的內容應包括每個漏洞的披露以及解決方案。該要求適用于承包商和分包商
• 強制承包商遵守NIST標準和指南意味著到2022年12月，禁止所有聯邦機構采購或續簽合同以獲取首席信息官(CIO)認為不合規的任何物聯網設備。

這些是物聯網法案的主要含義。但是，如果您還沒有注意到它，現在是時候閱讀NIST的物聯網設備網絡安全指南草案，以了解詳細的分類。

該怎么辦?

如您所見，如果您是宣傳新業務的物聯網設備產品團隊的一員，那么是時候讓您的網絡船井然有序——如果您還沒有這樣做的話。

建議盡快轉向這個新的黃金標準。對于那些急于將設備投入生產以加速銷售的制造商或品牌來說，這可能是棺材上的最后一顆釘子。

因此，您現在可以采取以下幾個明智的舉措：

• 采用主動式網絡安全解決方案，在整個生命周期內保護消費者物聯網設備。將計算機端點檢測和響應(EDR)應用于物聯網設備，意味著持續監控威脅，實時阻止攻擊，并且定期安全更新的安全遠程提供保護每個產品免受最新威脅。因此，購買者可以放心，那些日常家庭或工作生活中不可或缺的便捷設備是安全、可靠和私密的。
• 提供具有24/7全天候安全監控的網絡安全系統——近年來，太多基于云的智能設備遭受了備受矚目的黑客攻擊，但通過在設備級別應用24/7安全監控可以緩解這種情況。
• 清楚地將您的設備標記為符合新標準——由于政府采購負責人將遵守新的、嚴格的合規性標準，因此通過明確說明您的產品嚴格遵守的情況，使他們的這部分工作更容易。符合新網絡保護標準的透明產品標簽將贏得客戶的青睞

國際規則和標準

不要忘記，如果您在各個國際司法管轄區進行交易，許多外國政府和跨國立法者也在加強他們的物聯網設備網絡安全標準：

• 新的英國網絡安全法將要求所有消費者聯網產品必須符合三項新的安全要求;允許安全問題報告的漏洞披露政策，禁止通用默認密碼，以及要求銷售點披露設備接收安全更新的最短時間。
• 《歐盟網絡安全法案》在整個歐盟范圍內建立網絡安全認證框架，為各種ICT產品和服務創建計劃。每個方案都指定了相關的服務和產品類別、網絡安全要求(包括技術規范和標準)、預期的保證水平和評估類型。

全球范圍內的規則和法規都在收緊，但如果您的物聯網產品團隊全神貫注，您可以利用合規性作為利用消費者信任和銷售的機會——這是一種獎勵而不是負擔。

換句話說，Cyber-as-a-Feature將成為一個更強大的物聯網品牌差異化因素，應該在您的營銷手冊中占據一席之地。

關鍵要點

我們希望這次新的物聯網網絡安全標準的實施能讓人大開眼界。

以下是一些需要考慮的關鍵要點：

• 新的物聯網網絡安全標準將成為適用于所有連接設備的新標準。最初由聯邦政府制定，以確保政府采購獲得最高級別的網絡保護，作為全國最大消費者的政府的權力和影響將認為這是所有物聯網或連接設備的新事實上的標準。
• 物聯網產品制造商已經超越SBD，轉向主動網絡安全，在整個設備生命周期內提供全面的安全和隱私，并保護用戶的隱私，在合規性方面處于領先地位。
• 世界各國都在應用同樣強大的物聯網網絡安全標準——如果您進行國際貿易，請注意。
• 當您銷售聯網設備時，網絡即功能(CaaF)可用作極具說服力的差異化因素，因為隨著新的網絡安全立法在全球范圍內推出，客戶意識也將提高。

網絡安全標準是將公司定位為重視隱私和安全的領導者的機會，用雙手抓住它，因為您的業務將受益無窮。