首頁 » 專家觀點 »
在當今物聯網市場中(即嵌入式感測器、軟體和其他技術的智慧裝置網路,或者說是「萬物」網路,其目的是透過網際網路相互連接和交換數據),同樣看到了安全標準的缺乏…
先前,美國總統拜登簽署了一項專門用於改善美國網路安全工作的行政命令。無論是最近對Colonial Pipeline的勒索軟體攻擊,還是之前對公共和私人資產的大量有害攻擊,都急需這項早該頒佈的行政命令。
一個多世紀前,當第一台電動設備開始進入家庭時,由於缺乏聯邦安全電氣標準,導致許多設備著火並燒毀了房屋。
與歷史相似的是,在當今物聯網(IoT)市場中(即嵌入式感測器、軟體和其他技術的智慧裝置網路,或者說是「萬物」網路,其目的是透過網際網路相互連接和交換數據),我們同樣看到了安全標準的缺乏。
【白皮書免費下載】使用降壓-升壓穩壓器實現直通操作
消費者最熟悉的物聯網產品包括語音助理、智慧家庭照明和安全攝影機。雖然物聯網安全標準的欠缺並沒有引發真正的火災,但是卻讓消費者及其財物面臨其他形式的嚴重危害。
我們自己造成的安全問題
大多數消費者錯誤地認為購買的物聯網產品中已經預設安全防護,但事實上並非如此。雖然產業聯盟和政府機構已經發佈了各種建立最低安全等級的指南和網路安全標準,但嚴峻的現實是,許多物聯網裝置製造商和供應商尚未採用或者實施其中任何一項。這就是為什麽我們經常聽到相關驚悚事件的原因,像智慧家電、醫療設備和嬰兒監視器被駭客入侵、人們的隱私受到侵犯、數據被盜用等等。物聯網產業未能在大規模安全方面進行自我監管,實質上迫使政府監管機構介入以保護最終用戶。據研究人員估計,40.8%的智慧家庭中至少有一個設備容易受到攻擊,這是一個需要迫切關注的嚴重情況。
正在進行中的立法
在2020年,美國通過了《2020年物聯網網路安全改進法案》(Internet of Things Cybersecurity Improvement Act of 2020),這是美國第一條直接解決物聯網安全問題的聯邦法律。該法案要求聯邦機構採購至少需符合最低網路安全標準的裝置,並建立漏洞報告和通知程序。參議員Ed Markey (D-Mass.)和衆議員Ted Lieu (D-Calif.)今年也再次提交網路保護法案(Cyber Shield Act),該法案旨在建構一個自願制度來認證物聯網裝置的網路安全保護。該法案將創建一個由來自政府、產業和學術界的成員組成的聯邦諮詢委員會,以設定網路安全物聯網基準。
對於產業外的人士來說,技術立法絕非易事,但隨著未來幾個月新技術法規的發展,產業和消費者都有必要為未來立法去了解物聯網安全中最重要的考慮因素:
1.購買隨附的安全性:可以說,物聯網安全需要改變的最重要的事情之一是政府需要強制物聯網產品製造商製造預設安全保護的產品。新的物聯網產品應該在啟用安全功能的情況下開箱即用。這也意味著,一旦消費者將新的物聯網裝置添加到他們的網路中,該裝置就可以安全使用了,不再需要任何進一步的安全配置。
2.製造商作業安全:技術製造商需要在自己的作業中採用一套安全實踐方法,以確保他們製造的產品實際上是安全的。例如,如果製造商不斷遇到內部安全漏洞,而且這是由於其疏忽或不在意網路安全,或缺乏安全管理流程,那麽可以合理地說明其產品安全也可能不符合安全標準。
3.必要的威脅建模研究:物聯網裝置製造商還需要了解產品如何開發、生產和客戶如何使用產品相關的威脅和風險,這需要研究了解產品將如何使用,比如它將處理什麽樣的資訊,最重要的是,誰可能想要破壞資訊。一旦公司了解了誰是最有可能的駭客,就可以透過產品設計來阻止這些攻擊者。
4.強制的違規預備措施:公司必須證明他們具備有效的手段來應對網路安全事件。他們必須擁有操作安全事件反應流程,以便處理影響其運作的安全事件;必須擁有產品安全事件反應流程,以便幫助客戶處理影響所購買產品和服務的安全事件。
5.生命週期內安全升級:開發長生命週期產品的公司必須證明,在產品的預期生命週期內,他們有能力安全地更新和升級產品的安全性,以便及時應對新出現的威脅。
6.供應鏈安全完整性:公司必須證明他們能夠有效管理影響其整個供應鏈的風險和網路安全。隨著時間的推移,以及威脅的增長及變化,必須執行定期責任制檢查以監控安全標準的合規性。
制定常識性的物聯網安全立法不是一項簡單的任務,但它是可以實現的,並且必須完成。拜登的行政命令令人鼓舞,並確認了採用業內許多公司已經採取的網路安全方法來保護物聯網。這不是美國第一次處理有關家電安全產品政策的複雜立法,也不會是最後一次。
筆者樂觀地認為,如果產業共同分享最佳實踐資訊,安全技術專業人士可以幫助立法者起草法規,確保消費者數據安全,同時使物聯網技術在我們的日常生活中繼續蓬勃發展。
本文同步刊登於《電子工程專輯》雜誌2022年5月號
加入我們官方帳號LINE@,最新消息一手掌握!
You must Register or Login to post a comment.