最新的物联网安全法规是否有足够的影响力？

随着各国政府寻求解决物联网安全问题，世界各地纷纷出台一系列监管措施。这是积极的一步，表明市场正在成熟，但监管物联网领域并非没有挑战。这些举措不可避免地遭到了来自那些认为它可能会造成物联网垃圾山的人的抵制，也有人说它可能会阻碍创新。

因此，每项立法都略有不同。 Pen Test Partners 合伙人 Ken Munro 说，但这些法规将如何影响监管的演变，因此我们必须考虑正在采取的措施、它们的优势和不足之处。

1. 2017 年物联网网络安全改进法案 （美国）： 旨在控制美国政府内部的物联网，物联网网络安全改进法案可能对物联网的发展产生深远的影响。设备不得在 NIST 数据库中表现出已知的安全漏洞，必须支持更新，必须使用固定或硬编码的凭据进行远程管理、更新和通信，并且必须披露和修复漏洞。但是，将缺陷限制在 NIST 可能会忽略未列出的常见问题，例如客户应用程序中的 SQL 注入。它还没有承认许多 RF 协议的设计根本不使用凭据，因此这些设备需要报废或升级以支持更严格的无线协议。该法案尚未获得通过，其他法案包括智能物联网法案、数字信息法案、安全物联网法案、网络防护法案和物联网消费者 TIPS 法案。
2. 网络安全法 （欧盟）： 从 2018 年 5 月起，该立法将使欧盟网络和信息安全局 (ENISA) 成为网络安全机构和为认证所有欧盟成员国的联网汽车和智能产品而创建的认证框架。 《网络安全法》仅适用于关键的国家基础设施。制造商可以要求将他们的物联网设备根据认证计划分类为“基本”、“基本”或“高级”，但该系统是自愿的。为了吸引他们，那些追求“基本”级别的人可以“自己进行一致性测试”。该文件指出，ENISA 将有权“针对供应商和制造商发出警告以提高安全性”，但没有提及将如何执行。它确实为投诉做出了规定，允许游说者和安全研究人员在整个工会内举报并负责任地披露。
3. SB-327 （美国）： SB-327 于 2018 年 8 月通过，使加利福尼亚成为美国第一个监管智能技术的州。它规定了消费类设备的一些基本安全标准，并将于 2020 年 1 月生效。然而，措辞含糊不清，指的是“旨在保护”的“适当”安全。大多数设备可能声称有意保护设备/数据，从而回避了这些要求。它强制使用唯一密码，但未能解决设备上是否存在良好的熵源的问题。零售商也摆脱了困境，这可能会导致市场在 2020 年之前受到不合规技术的冲击。这些设备没有明确要求支持更新。
4. 消费者物联网安全行为准则（英国）： 基于 3 月份推出的 Secure by Design 草案提案，数字、文化、媒体和体育 (DCMS) 发布的 CoP 现在纳入了通用数据保护条例 (GDPR)。虽然范围广泛，为制造商、移动应用程序开发商、服务提供商和零售商提供指导方针，但它是自愿的。 CoP 规定不应使用默认密码，应安全存储凭据和安全敏感数据，并保持软件更新。然而，虽然它建议使用漏洞披露策略，但它并不要求供应商发布修复程序。尽管如此，对于消费者物联网安全来说，这是向前迈出的非常积极的一步。

很明显，当局非常赞成一种温和的、温和的方法，这就引出了一个问题，这些标准会被自愿遵守吗？物联网供应商面临着将产品推向市场的巨大压力。对于他们而言，要自行采取任何形式的监管，都需要对他们有显着的优势……或影响。

在这里，市场本身可以施加更大的压力。通过将这一点写入贸易标准立法，赋予消费者退货的权利，以获得信贷。鼓励零售部门承诺不库存易受攻击的设备。制造商将更有动力投降，签署分类计划并对其设备进行测试。

现在，判断自我调节的有效性还为时过早。我们需要放松立法，让行业有机会适应物联网的关键时刻。只有这样，我们才能评估哪些地方需要采取更多的惩罚措施。

此博客的作者是 Pen Test Partners 的合伙人 Ken Munro。他定期向英国和美国政府部门通报情况并参与 关于物联网监管的各种欧盟消费者委员会。