最新的物(wù)聯網法規是否有足夠覆蓋範圍？

 随着各國政府尋求解決物(wù)聯網安全問題，世界各地都出現了一(yī)系列的監管措施。這是一(yī)個積極行動，表明市場正在成熟，不過物(wù)聯網監管并非沒有挑戰。這些監管措施不可避免地遭到了那些認爲它可能會造成物(wù)聯網廢物(wù)堆積如山的人的抵制，而其他人則認爲它可能會阻礙創新。

因此，每項立法都略有不同。Pen Test Partners的合夥人肯·芒羅( Ken Munro )表示：這些法規将決定監管的演變，因此我(wǒ)們必須考慮所采取的措施、它們的好處以及不足之處。

1. 《2017年物(wù)聯網網絡安全改進法案》(美國)：

旨在控制美國政府内部的物(wù)聯網，物(wù)聯網網絡安全改進法案可能對物(wù)聯網的發展産生(shēng)深遠影響。法規要求設備不得出現NIST漏洞庫中(zhōng)已知(zhī)的安全漏洞，而且必須支持更新，必須使用固定或硬編碼憑據進行遠程管理、更新和通信，并且必須披露和修複漏洞。然而，将漏洞局限于NIST，可能會出現一(yī)些沒有被列出的常見問題，例如，客戶應用程序中(zhōng)的SQL注入被忽略。此外(wài)，它也沒有認識到許多RF協議被設計爲根本不使用憑據，因此需要廢棄或升級這些設備以支持更嚴格的無線協議。目前該法案尚未通過，其他法案包括智能物(wù)聯網法案、數字法案、安全物(wù)聯網法案、網絡防護法案和物(wù)聯網消費(fèi)者提示法案。

2. 《網絡安全法》(歐盟)：

自2018年5月起，該立法将使歐洲聯盟網安全局(ENISA )成爲網絡安全機構，并成爲認證所有歐盟成員(yuán)國聯網汽車(chē)和智能産品的認證框架。《網絡安全法》 隻适用于重要的國家基礎設施。制造商(shāng)可以要求将其物(wù)聯網設備按照第46條将認證結果分(fēn)爲3個等級，分(fēn)别是基本(basic)、堅實(substantial)、高級(high)。爲了吸引他們，那些進入“基本”水平的企業可以“自己執行一(yī)緻性測試”。該法案指出，ENISA将有權發布針對供應商(shāng)和制造商(shāng)的警告，以提高安全性，但沒有提到如何執行這一(yī)規定。ENISA也确實爲申訴做了規定，允許遊說者和安全研究人員(yuán)“吹口哨”并負責任地對外(wài)披露。

3. 《SB-327》 (美國)：

SB-327于2018年8月通過，使加州成爲美國第一(yī)個管理智能技術的州。它規定了消費(fèi)者設備的一(yī)些基本安全标準，并将于2020年1月起生(shēng)效。然而，該法案措辭含糊地提到“旨在保護”的“适當”安全。大(dà)多數設備可能聲稱已經打算保護設備/數據，從而避開(kāi)了這些要求。它強制規定了設備必須設置唯一(yī)的密碼，但無法解決設備上是否有良好的熵源問題。零售商(shāng)也免于承擔責任，因爲2020年前，市場可能充斥着不合格的設備，這些設備沒有明确要求支持更新。

4. 《消費(fèi)類物(wù)聯網設備安全行爲準則》(英國)：

基于3月份發起的安全設計提案草案，由英國數字、文化、媒體(tǐ)和體(tǐ)育部(DCMS)發布的《消費(fèi)類物(wù)聯網設備安全行爲準則》現在納入了《通用數據保護條例》( GDPR )。雖然範圍廣泛，并爲制造商(shāng)、移動應用開(kāi)發者、服務提供商(shāng)和零售商(shāng)提供指導，但這是自願遵守的。該法案要求不應使用默認密碼，應安全存儲憑據和安全敏感數據，并保持軟件更新。雖然它建議使用漏洞披露策略，但它不要求供應商(shāng)發布修複程序。盡管如此，這是消費(fèi)者物(wù)聯網安全的一(yī)個非常積極的進步。

很顯然，政府當局非常贊成采用溫和的方式來解決問題，這就引出了一(yī)個問題：這些法規會被自願遵守嗎(ma)?物(wù)聯網供應商(shāng)面臨着将其産品推向市場的巨大(dà)壓力，對于他們來說，采取任何形式的監管都需要對他們有很大(dà)好處……或者影響。

其實市場本身可能會施加更大(dà)壓力，通過将易受傷害的智能商(shāng)品納入貿易标準規範，讓消費(fèi)者有權将其退回，同時鼓勵零售部門承諾不銷售易受攻擊的設備。那麽，制造商(shāng)将會有更多動力妥協、簽署法案并對其設備進行測試。

現在，判斷自我(wǒ)監管的有效性還爲時過早，我(wǒ)們需要讓這些法規生(shēng)效，同時也需要讓業界有機會适應物(wù)聯網發展的關鍵時刻，隻有這樣，我(wǒ)們才能評估我(wǒ)們需要在哪裏采取更加嚴厲的懲罰措施。