歐盟貿易協會 DigitalEurope 于周三(9 月 8 日)發布的一份報告強調缺乏基礎網絡安全要求，稱現有規則不充分，并呼吁在歐盟努力更新其網絡安全立法時進行橫向監管。

[[422846]]

隨著人們家中和日常生活中通過物聯網 (IoT) 連接的設備數量迅速增加，網絡攻擊的脆弱性正在增加。

Euroconsumers 的道德黑客最近進行的一項測試發現，數量驚人的普通智能家居設備(例如 WiFi 路由器、嬰兒監視器和警報系統)存在嚴重缺陷，使它們容易受到可能非常敏感的漏洞的影響。

然而，根據 DigitalEurope 的報告，現有的產品立法在解決網絡安全方面存在不足。

“由于其范圍和合格評定方法通常旨在解決物理產品功能，現有的產品立法無法正確解決管理或組織方面的問題，這對于更多類型的設備而言更為突出和常見，”

去年 12 月，作為其新的歐盟網絡安全戰略的一部分，歐盟委員會發起了一項提案，以修訂網絡和信息安全 (NIS) 指令中設定的網絡安全標準，這是歐盟范圍內關于該主題的首個立法。

新的立法，即所謂的 NIS2，旨在加強和擴大其前身的監管范圍和數量，以應對網絡威脅的普遍上升，但也應對大流行引起的對網絡和信息依賴的增加所導致的日益嚴重的脆弱性服務。

大西洋理事會(Atlantic Council)網絡和平研究所(cyber Peace Institute)首席公共政策官克拉拉·喬丹(Klara Jordan)表示，當前的網絡彈性狀態是一個“惡性循環”，既要處理后果，又要減輕威脅，這種惡性循環有可能“破壞對數字生態系統的信任，阻止我們充分利用技術”。這是其在最近的一次網絡安全會議上警告。

統一的橫向措施

接受 DigitalEurope 報告調查的專家絕大多數警告說，網絡安全不應完全或主要將其重點放在與產品相關的功能上，例如密碼，而是強調為了充分保護，必須考慮組織要求。

該報告指出，當前的歐盟產品規則基于可物理驗證的因素，例如產品的電氣特性或制造材料，無法充分應用于網絡安全等無形事物。

另一個問題是，目前驗證是在產品投放市場的那一刻進行的，在整個生命周期中沒有為持續監控留出空間，這是在不斷發展的網絡安全威脅和漏洞之前保持領先所必需的。

鑒于通用產品和組織基線網絡安全要求的比例很高，DigitalEurope 咨詢的人一致認為，為連接設備定義這些要求對于確保其整體安全至關重要。

報告稱，在該領域實施橫向監管是確保立法與標準之間充分聯系、協調不同產品和不同領域要求的關鍵方式。報告警告說，現有的產品立法是不夠的。

NIS2 指令的報告員 Bart Groothuis 告訴 EURACTIV，報告中要求的那種橫向立法是非常需要的，但不適合當前的 NIS2 提案，他說他已經向委員會提出了一些問題的場合。

“如果沒有這樣的橫向立法，歐盟網絡安全戰略將是不完整的”，他說。 “委員會應該在盡可能短的時間內提出提案。”

DigitalEurope 表示，如果將現有產品立法用于解決網絡安全問題，則應僅限于基本要求，并在橫向法規生效后予以廢除。

可入侵的房屋

Euroconsumers 的研究展示了這些風險如何在非常個人的層面上影響消費者。

作為他們的“Hackable Home”項目的一部分，兩名道德黑客測試了由知名和不太知名的生產商生產的 16 種廣泛使用的智能家居設備，總共發現了 54 個漏洞。在試用的 10 個設備中，至少檢測到的一個弱點被歸類為“高嚴重性”或“嚴重”。

“結果令人擔憂，”歐洲消費者政策和執行主管埃爾斯·布魯格曼說。“制造商必須做得更多。這對建立消費者信任至關重要，這將使整個物聯網生態系統蓬勃發展。如果它不安全，它就不應該存在。”

調查結果回應了其他團體和專家對目前市場上許多智能設備中發現的潛在風險的擔憂。 在許多情況下，密碼是弱點，特別是當設備出廠時帶有用戶通常不會更改的默認登錄詳細信息。

英國消費者團體今年早些時候，在短短一周內檢測到 2,435 次惡意嘗試使用弱默認用戶名和密碼登錄“智能家居”設備。