全球有哪些物聯網安全法規?
物聯網正在迅速成熟,調查顯示,在2020-2024年的預測期內,全球物聯網支出將達到11.3%的綜合年增長率(CAGR)。它提供了有希望的利益,正在迅速改變各種行業,包括制造業,醫療保健,商業建筑,智能家居,零售和能源。
物聯網的巨大潛力正在成為現實,但隨著采用速度的加快,監管機構和政府組織正在意識到聯網設備的危險和風險,如果它們沒有考慮到適當的安全性,并相應地以各種形式發布法規。它們可能是由政府和行業團體購買力支持的特定安全授權,也可能作為物聯網供應商和最終用戶最佳實踐的更自愿的一般性指導。
以下是一些最新的全球標準及其對當今制造商的影響的簡要更新。
亞洲和南太平洋的最佳做法和標簽
在亞洲和南太平洋,一些國家已經為物聯網制造商以及使用它們的組織制定了安全建議和最佳做法。
澳大利亞已經制定了一個自愿的物聯網網絡安全實踐守則,其中包含了十幾條原則,適用于所有連接到互聯網的物聯網設備發送和接收數據。該代碼側重于強密碼、多因素身份驗證和憑證的安全存儲。它建議組織制定漏洞披露政策,并為出現的問題指定一個聯絡點。
新加坡也采取了積極措施,發布了物聯網網絡安全指南,旨在為企業用戶及其供應商提供更好的物聯網技術部署指導,包括基本安全設計原則。新加坡還發布了一套物聯網標準,作為物聯網和傳感器網絡的技術參考,以解決缺乏任何一致的傳感器網絡或物聯網標準的問題,重點是接口互操作性。該地區的公司正在為智能家居設備建立一個安全標簽計劃,以便更好地告知消費者。
歐洲和英國的新規定
歐盟和英國的一些政府正在關注物聯網設備的相關標準。
例如,英國的數字、文化、媒體和體育部(DCMS)法規確保所有物聯網設備都是安全和受保護的。例如,設備的所有密碼必須唯一,并且不能重置為默認出廠設置。條例還指示制造商公開提供聯系方式,以報告漏洞。
與新加坡一樣,負責處理歐盟日常事務的歐盟委員會(EuropeanCommission)也在考慮設立物聯網“信任標簽”,旨在加強物聯網環境中的端到端個人數據保護。
巴西采取自由市場方式
巴西正在實施各種稅收改革和其他激勵措施,以推動物聯網解決方案。最近生效的第14.108/2020號法律將機器對機器(M2M)通信系統的安裝和運行檢查及許可費降至零。為了刺激該地區工業4.0生態系統的增長和促進其發展,該法律還承諾啟動第二產業,包括解決隱私問題的安全解決方案。
美國提供自上而下的領導
美國的主要發展是物聯網網絡安全改進法案。該法案于2020年簽署成為法律,旨在激勵企業保護其制造和銷售的設備。新法律要求美國國家標準與技術研究所(NIST)為物聯網設備的開發、配線、標識和配置管理制定一套新的指南。
與私營企業一樣,聯邦機構也在部署各種物聯網用例。法律要求他們審查采購實踐,并采取步驟,以更好地了解他們如何使用物聯網在他們的組織內,并考慮與他們的具體應用相關的風險。該法還指示他們在物聯網產品和技術的整個采購過程中應用領先的行業最佳做法、政策和程序。
物聯網安全需要一致的方法
盡管每個國家和地區都將其獨特的優先事項納入物聯網標準,但物聯網用例的本質要求它們保持高度的通用性。物聯網的定義是平滑、安全的連接,這使得設備制造商在滿足市場需求的同時仍需遵守多項政府和行業標準,這是一個挑戰。
隨著物聯網應用的迅速增加,一些行業組織正在采取積極措施,以確保其利益相關者創建的標準不會有太大差異。例如,國際醫療器械監管論壇(IMDRF)建立了一個自愿論壇,將來自世界各地的器械監管機構聚集在一起。他們正在合作制定一項戰略計劃,以加速國際醫療器械監管的協調和融合。該文件提出了關鍵的戰略重點,并將網絡安全、數據完整性和數據安全列為該行業的首要監管挑戰。
IMDRF是一個很好的例子,說明了行業利益相關者如何能夠共同商定物聯網監管的原則。
物聯網安全與信任的共同基礎
物聯網的變革優勢在于它能夠利用大量數據,并以更有意義的方式加以應用。為了保持其完整性,數據和連接必須以安全的方式進行管理,每一步都必須如此。例如,物聯網設備必須連接到從中間件到網關、應用程序和其他類型的服務和設備的所有東西,并在每個步驟進行適當的身份驗證。
一旦獲得,來自工廠車間、車輛傳感器、醫療保健監視器、家用恒溫器和無數其他設備的數據必須始終保密。當需要更新物聯網設備時,必須對所需的固件數據包進行簽名,以確保其完整性。
每一個行業標準都解決了這些類型的需求,以應對物聯網中的常見挑戰,并且它們需要包含在任何標準中。
公鑰基礎設施(PKI)技術可以在確保組織的設備和用戶得到安全認證方面發揮關鍵作用,并為他們共享的數據提供強有力的保護,無論這些數據是在傳輸中還是在靜止狀態。
好消息是,制造商不必等待將其應用于物聯網解決方案。PKI長期以來一直是確保互聯網安全的基本標準,并已被廣泛應用于各個行業。對于物聯網創新者來說,它檢查了確保高度信任和安全所需的所有條件。PKI還具有高度的靈活性,這對于支持許多不同的行業特定用例和環境至關重要。
隨著新的物聯網法規生效,技術制造商和用戶將需要確保其最佳實踐和流程安全可靠。通過做正確的事情來保護今天的設備,組織可以確定他們已經解決了將成為最新監管指南一部分的漏洞。
