ETSI IoT 标准：监管机构在保护 IoT 设备方面做得是否足够？

ETSI 宣布物联网 (IoT) 安全新标准 2020 年 6 月的技术委员会在信息安全行业非常受欢迎。 ETSI EN 303 645 为联网产品制定了安全基线，并列出了 13 条规定，概述了制造商可以采取的步骤来保护设备并确保合规性。艾伦·格劳, 物联网和嵌入式解决方案副总裁，Sectigo 报告。

随着立法者和监管机构意识到物联网网络安全这一紧迫问题的日益严重，新规定也随之出台。继 2020 年初生效的加利福尼亚州 SB-327 和澳大利亚 2019 年的“实践准则草案：为消费者提供物联网安全”框架之后，很明显政府和国际机构开始着手解决迎头挑战。

当英国于 2020 年 1 月宣布其新的物联网框架时，此举进一步加剧了物联网安全多年来一直不足的论点，监管机构已准备对其进行修改。

然而，问题仍然存在：这些立法和标准是否足以解决物联网设备的安全问题？

立法在保护物联网方面的作用

多年来，设备将在封闭的专有网络中运行，并通过可防御的边界进行保护。随着互联网的出现，这些系统越来越多地通过 TCP/IP 相互连接。这样做的好处已经被广泛讨论，物联网设备是消费者生活和企业网络的核心部分。他们的增长仍然不可阻挡：分析师机构 IDC 预计到 2025 年，将有 416 亿台物联网设备投入使用。

然而，立法共识未能跟上这种增长。随着市场的扩大，新的供应商和制造商通常会在定价方面低于竞争对手，以创建流行且易于进入的市场产品。削减成本可以将解决方案快速推向市场，但很少有人投入足够的时间和组织重点来整合适当级别的身份验证和安全性。

在缺乏有效的物联网立法框架的情况下，制造商花了几十年时间生产几乎没有内置安全性的设备，通常只有静态凭据作为网络犯罪分子的障碍。除非强制要求安全，否则制造商将继续以牺牲安全为代价偷工减料。只有立法和彻底的治理才能确保物联网安全在设计、制造和整个设备生命周期中得以实施。

迈向安全的小步

一方面，很高兴看到为保护 IoT 设备而采取的渐进步骤。另一方面，显然还有更多的变化需要做出，需要达成更广泛的共识。

以美国为例，SB-327 为制造商使用下一代安全和身份验证工具制定了清晰的框架。这是一个重要的步骤，旨在针对在先前的安全实践中暴露出严重不足的僵尸网络。不幸的是，这是一项孤立的立法，专门针对加利福尼亚州，对全国没有约束力。

从 ETSI EN 303 645 的角度来看，可以得出类似的结论。这是业内人士、学术界和政府部门合作的结果，但新标准不具有强制力和法律约束力。

虽然它确实为制造商和物联网利益相关者提供了一个单一的目标，但行业中仍然会有一些人倾向于实施宽松的安全流程，因为它更便宜，而且通常只是因为他们可以做到，而无需承担任何责任。

制定具有前瞻性的标准来应对整个物联网的安全挑战很重要，但这需要辅以立法议程，以确保制造商在创建设备时遵守网络安全框架。

为什么内置是最好的

很明显，政府和行业机构需要更加积极地建立物联网安全共识，但有一些关于保护这些设备的最佳实践的讨论。现在众所周知的是在制造点内置安全和 PKI 身份验证的重要性。随着供应链越来越复杂，OEM 的重点是确保设备在创建时是安全的。

为了对设备进行身份验证和加密，需要内置 PKI，以防止恶意行为者在供应链中进一步篡改。只有芯片组在制造的代工阶段通过认证和保护，它才能在整个设备生命周期内保持安全。

全球供应链——制定全球标准的时间？

物联网在设备、人员和企业之间带来了无与伦比的连接性，但也给家庭和企业网络带来了风险。该行业的巨大增长使制造过程变得复杂，因此现在设备是跨越极其复杂的供应链和跨国界制造的。

为了应对这一棘手的挑战，立法机构现在是时候携手合作，达成全球共识，在设备生命周期的每个阶段保护设备。只有这样，供应链和终端产品才会安全，财产、生命和数据安全的风险才会被遏制。

作者是 Alan Grau，Sectigo 物联网和嵌入式解决方案副总裁。