我们最近研究了一些来自家庭中智能或连网设备的安全威胁,以及我们可以采用的解决方案。这些威胁之所以出现,是因为当我们购买这些设备时,它们通常是不安全的。解决方案似乎是显而易见的——确保设备在到达我们手里之前是安全的。
因此,需要立法。
我们将物联网设备分为三大类:商业物联网(物联网,作为商业IT的一部分使用)、工业物联网(IIOT,作为工业运营的一部分使用)、消费类物联网(我们在家里使用的智能设备)。
好消息是,世界上许多标准组织都在致力于制定物联网标准。坏消息是,只有两个立法机构在认真试图保护消费者的物联网安全,他们是加利福尼亚州和英国。
时任加州州长杰里·布朗于2018年9月签署了一项网络安全法案,即连网设备安全法案(严格来说,是SB327),它将于2020年1月生效。但是,尽管该法案对密码的要求受到了赞扬,但该法案的其他部分被认为是薄弱的。
法案要求每个生产的设备都有唯一的密码,并且要求用户在首次获得设备访问权限之前生成新的身份验证方法。此外,对“合理”和“适当”安全特性的要求被认为实际上毫无意义,因为制造商可能不知道这两个词的真正含义。
计划中的英国立法
这只是计划中的英国立法。如果可行,它将提高英国及其他地区智能设备的安全性。此外,如果可行的话,它还可以为其他国家的类似立法提供一个蓝图,就像欧盟的一般数据保护条例(GDPR)正在为新的隐私立法提供全球蓝图一样。
在本文中,我们将研究拟议中的立法,并考虑其是否有效。
立法
英国有传统的商业立法方法。它首先要求自愿遵守可接受的行为准则,通常会明确警告说,如果不自愿采取行动,立法将使其成为强制性的。
2018年10月,数字、文化、媒体和体育部(DCMS)发布了《消费类物联网设备行为安全准则》。它包括13条独立的建议,以确保智能设备的安全性,从没有默认密码到漏洞披露策略,以及方便消费者删除个人数据等。
这些建议的目的是针对结果的,而不是规定性的——它们描述了应该实现什么,但没有描述应该如何实现。但是,它们比加利福尼亚州立法的要求更为明确。
制造商在很大程度上忽视了英国的自愿行为准则。在商业上,如果不需要,他们就不会做。今年5月,英国政府开始从自愿向强制过渡。DCMS就政府关于消费者物联网安全的监管建议发布了一份咨询意见。
政府仍在缓慢推进,但毫无疑问要规范向家庭销售智能设备的意图。提议遵守行为守则,从前3项开始,分阶段引入所有13项要求。这些是:
1、所有物联网设备都应该有唯一的密码,并且不能重置为任何通用出厂默认值。
2、制造商应提供公共联络方式,作为漏洞披露政策的一部分,以便安全研究人员和其他人能够报告问题。
3、制造商将明确说明产品接收安全更新的最短时间。
磋商,不是是否应该执行这项法律,而是应该如何执行。
在这里,英国面临着所有提议监管技术的相同问题——如何在不妨碍产品创新和商业运营效率的情况下做到这一点?
英国政府说:“我们意识到抑制创新并对各种类型制造商带来沉重负担的风险,这就是为什么我们一直致力于根据《行为准则》的前3大准则,来定义基本安全的原因所在”。(来自物联之家网)事实上,监管与创新是一种不可调和的矛盾。
但还有一个问题需要解决:如何对海外制造商实施国家监管?最直接的答案是,不能这样做。因此,政府正在对英国经销商实施监管而不是对外国制造商。
实施
目前争议的焦点是应采用三种实施方案中的哪一种。它们都是从制造商的产品安全标签开始,因为立法禁止在英国销售没有制造商安全标签的产品。
三种实施方案是:
选项一:强制经销商只销售带有物联网安全标签的消费类物联网产品,制造商可以自行声明并在其消费类物联网产品上张贴安全标签。
选项二:要求经销商仅销售符合前3项要求的消费类物联网产品,制造商有责任自行声明其消费类物联网产品符合《消费类物联网设备行为安全准则》前3项要求和ETSI TS 103 645标准。
选项三:要求经销商仅销售带有标签的消费类物联网产品,该标签需证明符合《消费类物联网设备行为安全准则》的所有13项要求,制造商应自行申报,并确保标签出现在包装上。
这就是问题所在,所有这三个选项都要求制造商自行声明安全性。换句话说,政府正在推行强制性的自愿立法。在其拟议的格式中,这项立法依靠市场力量来执行。它不能强迫外国制造商制造安全设备,但它可以惩罚出售这些设备的英国经销商。它让经销商有义务迫使制造商遵守法规。
如果我们从立法历史中学到了什么,那就是制造商和经销商都将遵循阻力最小的要求。
政府的下一步行动将决定这项立法的目的是成功还是失败。例如,DMCS声明,“我们打算在议会时间允许的情况下制定主要立法,让DCMS事务大臣能够为强制性标签计划设定要求和/或为在英国销售的设备设定安全要求,这些要求将在二级立法中确立”。
英国的二级立法不需要议会投票——只需要相关官员的同意即可。DCMS还指出,政府的意图是强制执行《消费类物联网设备行为安全准则》的所有13项内容。(来源物联之家网)一旦这3项初步要求成为法律,从理论上讲,政府有可能在接下来的10个月内,每月要求一项(剩余的10项准则)成为法律,或者说,任何其他被认为相关的要求。
英国立法会让消费者物联网更加安全吗?
有用吗?可能有用,也可能没用,至少没有希望的那么有用。
有两个根本困难。第一是制造商的自我安全声明。有好主意的、新的、小的制造商将继续抢在竞争对手之前把他们的产品推向市场,而匆忙推向市场意味着产品功能的安全性开发不足。
不安全的产品仍然会进入市场——如果10台智能设备中有9台不让黑客进入,而第10台让黑客进入,那么对消费者来说,意义何在?
第二个问题是:由谁来认证产品是否符合要求?解决此类问题的标准方法是引入强制性第三方认证,而这可以通过二级立法轻松完成。但是,由谁来支付必要的产品测试费用?
如果由制造商来付费,那么他们可能会放弃向英国销售——英国只是庞大全球市场中的一个而已。
如果由经销商来付费,则有可能会将物联网设备赶出市场,从而让智能家居设备在英国市场上短缺。而用户可能会通过国外网站购买不安全、未经测试的外国产品。
政府显然意识到了这些问题,并希望在分阶段实施的同时繁荣市场,而不是一口气要求太多。不过,也只有时间才能证明它是否成功。
但现实是,这项立法本身并不能解决这些问题。成功的最大希望将是,如果有足够多的其他国家政府认为这一做法有价值,并颁布了要求采取同样措施的立法。(来自iothome)只有这样,才能迫使所有制造商构建安全的消费类物联网设备。
与此同时,我们所有人都有责任采取我们所能采取的预防措施,而不是假设我们购买的设备是安全的。正如Avast和斯坦福大学新的研究表明,我们发现物联网世界中仍有很多地方没有受到保护。