保护消费者物联网设备：为什么需要全球标准

对于消费者而言，物联网 (IoT) 的发展意味着他们家中越来越多的物品现在已连接到互联网，并且可能面临网络攻击或因隐私泄露而泄露个人数据的风险。

在过去的几年里，ETSI 主席 Alex Leadbeater 说 网络安全技术委员会 (TC CYBER)，关于此类消费者物联网问题的报告越来越多。例如，安全研究人员最近发现 ZipaMicro ，一个智能家居集线器，在每个集线器中使用相同的私钥，硬编码到设备中。结合他们在互联网上找到的加密密码，这使研究人员能够打开由集线器控制的锁。

有风险的设备包括联网玩具，其中很可能包含可以远程访问的摄像头和麦克风。除了通过互联网进行攻击外，一些玩具现在还使用蓝牙，这是一个潜在的弱点。智能音箱，例如 Amazon 的 Echo，也容易被黑客窃听私人谈话。

一旦设备供应商在新产品中收到警报，这些类型的问题通常会迅速修复，但这可能为时已晚，而且修复或召回市场上已有的问题的方法不一致。政府正试图通过立法来强制执行更高的标准——例如，英国正在就新法律进行咨询，其中可能包括产品的强制性标签和最低标准。美国也不甘落后，加州已经禁止通用默认密码。然后在数据保护方面，有适用于任何存储的个人信息的欧盟 GDPR 等法律。

但这会给产品供应商带来困难——他们如何确保他们能够经济高效地满足不同国家/地区的不同要求，以及仍在制定法规的快速变化市场？

标准提供安全建议

为了解决这个问题，ETSI 最近发布了 ETSI TS 103 645，这是第一个全球消费者物联网安全标准。新标准旨在为公司如何保护将连接到互联网的任何消费品建立一个基准，并促进最佳实践。

同时，它的编写侧重于结果而不是具体的方法，这意味着有足够的灵活性使公司能够创新并为其特定产品找到最佳解决方案。该标准旨在满足各种联网设备的需求，包括玩具、可穿戴健身追踪器、智能家居助理、智能电视、门锁和家庭自动化系统。

让我们看看 ETSI 新标准中的建议，以及它将如何使连接的消费设备更安全。

设备要求

首先，该标准规定所有设备密码必须是唯一的——克服了当今许多产品使用默认用户名和密码销售的问题，用户通常不会更改这些密码。它还说应该不可能将密码重置为默认值。令人惊讶的是，市场上的许多产品已经不符合新标准中的这一要求或其他更基本的要求。

个人数据保护是该标准的重要组成部分，它要求安全地存储所有敏感信息——无论是在设备本身上，还是在任何相关服务中，例如在云中。设备不得具有硬编码的凭据，因为这些凭据相对容易被发现。

产品需要让消费者在需要时轻松删除他们的个人数据，并提供明确的说明。同样，物联网设备的安装和使用也需要简单且有据可查。数据在传输时也必须受到保护和加密。设备必须提供适当的保护以防止加密攻击。

所有连接的设备都需要遵循良好的安全工程实践，例如关闭未使用的软件和网络端口以最大程度地降低攻击风险。应验证输入的任何数据，以防止利用超出范围的值等漏洞。设备还必须能够使用某种基于硬件的安全启动机制来验证其软件，并成功处理任何电源或网络中断。

除了对设备本身的要求外，ETSI 标准对产品供应商也有特定的要求。其中包括及时寻找漏洞并采取行动。

并且设备软件必须能够轻松安全地更新。

建立消费者信心

消费者有理由担心物联网安全。新标准是供应商与客户重建信任的宝贵方式。通过遵循其指导，制造商可以确保他们的产品符合适当的安全和隐私级别。这意味着客户受到保护，公司可以避免代价高昂的违规行为以及负面宣传的影响。

更重要的是，ETSI 标准对消费者来说是一个重大变化，让他们相信自己的安全、隐私和安全不会因使用联网设备而受到威胁。

您可以在此处阅读 ETSI 标准

作者是 ETSI 网络安全技术委员会 (TC CYBER) 主席 Alex Leadbeater。