英国物联网安全法规鼓励消费者提高警惕

英国政府正在推进制定物联网设备监管的计划。 DigiCert 物联网安全副总裁 Mike Nelson 表示，此举遵循了一个广泛的全球趋势，即试图锁定新兴但不安全的物联网世界 .

长期以来，物联网 (IoT) 设备已被投放到市场上，其中充满了威胁用户新类型灾难的漏洞。从利用物联网设备功能的攻击——例如可破解的汽车或可以变成远程监控设备的玩偶——到大规模威胁互联网基础设施的 Mirai 攻击等事件。正是出于这些原因，英国政府已经加强了。

该法规旨在建立在 2018 年的实践准则 – 设计安全 – 它为物联网设备制造商和消费者提供了许多关于如何安全地构建和使用物联网设备的指导方针。其中包括安全存储凭据和其他安全数据、最大限度减少暴露的攻击面、确保物联网设备上软件的完整性和持续更新以及确保与设备之间的安全通信的建议。

该行为守则补充说，它正在推出，希望人们能够遵守，如果他们不遵守，政府将开始强制执行这些准则。这似乎终于发生了，监管机构现在将至少强制执行其中三项准则。

三项准则

首先，IoT 密码必须是唯一的且不可重置为出厂默认值，从而允许攻击者仅查找该密码。

其次，制造商必须有公开的漏洞披露联系人，以便及时报告和修复错误。

第三，制造商必须明确说明设备接收安全更新的最短时间，以便消费者可以在此基础上计划下线或做出其他安全决策。

符合要求的设备将能够自豪地贴上邮票，表明政府对该特定产品的安全性的认可。这看似简单的举动，却深刻改变了物联网安全与消费者之间的关系。

物联网安全留给制造商

虽然迄今为止物联网安全一直由制造商决定，然后可能由企业安全团队在事后解决，但 Secure by Design 的认证计划最终将这些安全决策交到了消费者手中。现在，他们可以在将保护薄弱、易受攻击的设备引入原本安全的网络之前做出这些决定。

现在消费者在购买物联网设备时可以考虑安全性，它可以成为竞争优势。迄今为止，制造商一直在制造不安全的设备，主要是因为这样做成本更低。制造安全设备没有市场需求，也没有太多可以使他们这样做有利可图的需求。

为设备贴上标签并引入安全性作为消费者的竞争优势，将迫使制造商考虑如何通过从设计阶段开始就考虑安全性来减少损失并增加收益。一旦消费者关心，制造商也会开始关心。

计算为时已晚

这是一个简单的计算，但为时已晚。长期以来，制造商一直在有效地保护他们的物联网产品，既没有胡萝卜也没有大棒来推动他们前进。它不会解决所有的安全问题，但对于一个困扰该领域很长时间的问题来说，这是一个值得称道的答案。世界各地的政府都开始大肆宣传，但 Secure by Design 及其认证计划的巧妙之处在于它也带有胡萝卜。

作者是 DigiCert 物联网安全副总裁 Mike Nelson

关于作者

Mike Nelson 是全球数字安全提供商 DigiCert 的物联网安全副总裁。在此职位上，Mike 负责监督公司针对各种关键基础设施行业的战略市场开发，以保护高度敏感的网络和物联网 (IoT) 设备，包括医疗保健、交通运输、工业运营以及智能电网和智慧城市实施。 Mike 经常与组织协商，为媒体报道做出贡献，参与行业标准机构，并在行业会议上就如何利用技术改善关键系统和依赖它们的人员的网络安全发表演讲。

Mike 的职业生涯是在医疗保健 IT 领域度过的，包括在美国卫生与公共服务部，GE Healthcare , 和 Leavitt Partners – 一家精品医疗保健咨询公司。 Mike 对该行业的热情源于他作为 1 型糖尿病患者的个人经历以及在治疗中使用互联技术。