全球物聯網安全法規有哪些?
物聯網的巨大潛力正在成為現實,但隨著采用速度的加快,監管機構和政府組織已經意識到,如果連接設備的構建沒有考慮到適當的安全性,它們會帶來危險和風險——并且,作為回應,他們正在發布法規形式多樣。它們可能是由政府和行業團體的購買力支持的特定安全要求,或者它們可能是關于物聯網供應商和最終用戶最佳實踐的更自愿的一般指南。
這里簡要介紹了一些最新的全球標準及其對當今制造商的影響。
亞洲和南太平洋的最佳實踐和標簽
在亞洲和南太平洋,一些國家已經為物聯網制造商以及使用它們的組織制定了安全建議和最佳實踐。
澳大利亞制定了一項自愿的物聯網網絡安全行為守則,其中包含適用于所有連接到互聯網以發送和接收數據的物聯網設備的十多項原則。該代碼側重于強密碼、多因素身份驗證和憑據的安全存儲。它建議組織制定漏洞披露政策,并為出現的問題指定一個聯系人。
新加坡也采取了積極措施,發布了物聯網網絡安全指南,旨在為企業用戶及其供應商提供更好的物聯網技術部署指導,包括基本的安全設計原則。新加坡還發布了一套物聯網標準,作為物聯網和傳感器網絡的技術參考,以解決缺乏任何一致的傳感器網絡或物聯網標準的問題,重點是接口互操作性。該地區的公司正在為智能家居設備制定安全標簽計劃,以更好地通知消費者。
歐洲和英國的新規定
歐盟和英國的一些政府正在關注物聯網設備的標準。
例如,英國數字、文化、媒體和體育部(DCMS)的法規確保所有物聯網設備的安全和保護。例如,設備的所有密碼必須是唯一的,并且不得重置為默認出廠設置。法規還指示制造商公開提供聯系方式以報告漏洞。
與新加坡一樣,負責處理歐盟日常事務的歐盟委員會也在考慮創建物聯網“信任標簽”,旨在加強物聯網環境中端到端的個人數據保護。
巴西采取自由市場方式
巴西正在應用各種稅收改革和其他激勵措施來推動物聯網解決方案。最近生效的第14.108/2020號法律將機器對機器(M2M)通信系統的安裝和運行檢查和許可費用降至零。為了刺激該地區工業4.0生態系統的增長和發展,該法律還承諾啟動第二產業——包括解決隱私問題的安全解決方案。
美國提供自上而下的領導
美國的主要發展是物聯網網絡安全改進法案。該立法于2020年簽署成為法律,旨在激勵公司保護他們制造和銷售的設備。新法律要求美國國家標準與技術研究院(NIST)為物聯網設備的開發、修補、身份和配置管理制定一套新的指導方針。
與私營行業一樣,聯邦機構也在部署各種物聯網用例。法律要求他們審查采購做法并采取
更好地了解他們如何在組織內使用物聯網的步驟,并考慮與其特定應用程序相關的風險。法律還指示他們在物聯網產品和技術的整個采購過程中應用領先的行業最佳實踐、政策和程序。
物聯網安全需要一致的方法
盡管每個國家和地區都有自己獨特的物聯網標準優先事項,但物聯網用例的本質要求它們保持高度的通用性。物聯網的定義是流暢、安全的連接,這使得設備制造商在滿足市場需求的同時仍遵守多項政府和行業標準具有挑戰性。
隨著物聯網應用的迅速增加,一些行業組織正在采取積極措施,以確保其利益相關者創建的標準不會有太大的不同。例如,國際醫療器械監管機構論壇(IMDRF)建立了一個自愿論壇,匯集了來自世界各地的器械監管機構。他們正在合作制定一項戰略計劃,以加速國際醫療器械監管的協調和融合。該文件提出了關鍵的戰略重點,并將網絡安全、數據完整性和數據安全列為行業最大的監管挑戰。
IMDRF是行業利益相關者如何共同商定物聯網監管原則的一個很好的例子。
物聯網安全和信任的共同基礎
物聯網的變革優勢在于它能夠利用大量數據并以更有意義的方式應用它。為了保持其完整性,數據和連接的每一步都必須以安全的方式進行管理。例如,物聯網設備必須連接到從中間件到網關、應用程序和其他類型的服務和設備的所有內容,并在每一步都進行正確的身份驗證。
來自工廠車間、車輛傳感器、醫療保健監視器、家庭恒溫器和無數其他設備的數據一旦獲得,就必須始終保密。當需要更新IoT設備時,必須對所需的固件數據包進行簽名以確保其完整性。
每個行業標準都解決了這些類型的要求,以應對物聯網中的常見挑戰,并且需要將它們包含在任何標準中。
公鑰基礎設施(PKI)技術可以在確保組織的設備和用戶得到安全身份驗證方面發揮關鍵作用,并為他們共享的數據(無論是傳輸中的還是靜止的)提供強大的保護。
好消息是制造商不必等待將其應用于他們的物聯網解決方案。PKI長期以來一直是確保Internet安全的基本標準,并已被廣泛的行業廣泛采用。對于物聯網創新者,它會檢查確保高度信任和安全所需的所有框。PKI還非常靈活,這對于支持許多不同的行業特定用例和環境至關重要。
隨著新的物聯網法規生效,技術制造商和用戶需要確保他們的最佳實踐和流程安全可靠。通過采取正確的措施來保護當今的設備,組織可以確保他們已經在解決漏洞,這些漏洞將成為最新監管指南的一部分。
