物聯網安全性法規要求開始出現

作者 : Rich Quinnell,EDN

對於許多物聯網開發團隊而言,安全性仍然是一個願望清單,且被視為不值得為了將安全性用在消費性產品上而花費成本和精力。消費者似乎不願意為增強的網絡安全功能或為避免產品缺乏此類功能而支付額外費用,但是,立法活動開始讓安全性成為消費性物聯網產品設計的法規要求…

對於許多物聯網(IoT)開發團隊而言,安全性仍然是一個願望清單,且被視為不值得為了將安全性用在消費性產品上而花費成本和精力。消費者似乎不願意為增強的網路安全功能或為避免產品缺乏此類功能而支付額外費用,但是,立法活動開始使安全性成為消費性物聯網設計的法規要求。

美國國家標準暨技術研究院(NIST)專案經理Katerina Megas在IoT World Today的物聯網安全高峰會(IoT Security Summit)發表演說時指出,要求物聯網裝置整合安全性的立法已經在美國某些州開始生效,並且也已添加到聯邦法規中。Megas表示,在2020年1月,加州(California)和奧勒岡州(Oregon)均頒佈了法規,要求所在州的連網裝置製造商為其裝置配備「合理的安全功能」。此外,其他幾個州——包括伊利諾州(Illinois)、麻薩諸塞州(Massachusetts)、紐約州(New York)和維吉尼亞州(Virginia),也有類似的立法正待定或考慮中。

Megas還指出,美國政府正在開始制定法規來強制物聯網安全性。例如,美國眾議院在2020年3月推出了H.R. 1668—2020年物聯網網路安全改進法案(H.R. 1668 – The Internet of Things Cybersecurity Improvement Act of 2020)。該法案要求「聯邦政府關於機構適當使用和管理機構擁有或控制、並與機構擁有或控制的資訊系統連接的物聯網裝置的標準和指南,包括管理與此類裝置相關的網路安全風險的最低訊息安全要求。」這個法案已通過了眾議院和參議院審議,且眾議院和參議院並於12月4日進行使其成為法規的簽署;標準和指南必須在90天內發佈。

要求在物聯網裝置中實現安全功能的法規現已開始頒佈。

儘管H.R. 1668僅適用於美國政府使用的物聯網系統,但它標誌著網路安全法規的開始,該法規最終還將在美國國土範圍內適用於工業和消費性系統。2019年美國國會成立了Cyberspace Solarium Commission,以為美國制定一種在網路空間捍衛自己的策略方法,該委員會的第一份報告包含80多項建議,其中包括50多項立法建議,協助實踐委員會的分層防禦策略。這些建議中有許多不僅影響政府的系統,而且也適用於工業和消費性系統。

物聯網開發團隊強烈關注三個具體建議。有人呼籲美國通過一項物聯網安全法,強制執行「合理的安全測試」,以符合NIST的建議,例如NISTIR 8259—適用於物聯網裝置製造商的基礎網路安全活動(NISTIR 8259 — Foundational Cybersecurity Activities for IoT Device Manufacturers)。另一個建議要求建立國家網路安全認證(National Cybersecurity Certification)和商標管理機構(Labeling Authority),以驗證物聯網裝置是否符合要求。此外,該建議要求認證機構將其範圍擴展到聯邦和工業物聯網(IIoT)系統之外,以涵蓋個人和消費性電子產品。

值得關注的第三項建議有可能推翻在設計中實現物聯網安全性的任何與經濟相關的反對意見,且該提議要求為最終產品組裝者確立賠償責任。依但此建議實施,若物聯網產品製造商的裝置無法防範已知漏洞,則出售裝置的製造商將承擔賠償責任。換句話說,物聯網安全性無論是否吸引消費者願意增加支出,都將成為一項「必備」功能。這是由於,不落實安全性的風險將非常高。

到目前為止,所有這些立法所要求的「合理的安全功能」仍然只是模糊的定義。根據Megas的說法,在加州和奧勒岡州的法規中,「合理」的定義只是要求得採取適用於裝置的功能及其處理的資訊,並試圖防止對該資訊未經授權的訪問、披露、使用、修改或破壞的衡量,但具體該怎麼測試並未定義。

他們也不可能這樣做。正如同Megas在演講中所指出的,NIST在建議網路安全測試方面的指導思想是,單一方式不可能適用於整個網路環境,因此,這些法規未納入具體測試方式。相反地,這些工作正在採取基於結果的方法。即將公佈的法規將要求物聯網設計實現網路安全,但並未規定該如何實現,因此仍將取決於開發團隊如何判斷。但是,對於物聯網安全性及其實現功能的需求,正在從合理的角度發展為法規要求。

(參考原文:Legal requirements for IoT security start to emerge,by Rich Quinnell,EDN Taiwan Anthea Chuang編譯)

 

 

 

 

 

 

加入LINE@,最新消息一手掌握!

發表評論