新的物聯(lián)網(wǎng)網(wǎng)絡安全標準:產(chǎn)品經(jīng)理需要知道什么
物聯(lián)網(wǎng)(IoT)的指數(shù)級增長產(chǎn)生了令人驚嘆的統(tǒng)計數(shù)據(jù)。
例如,國際數(shù)據(jù)公司總裁弗農(nóng)特納預測,到2025年將有800億臺設備連接到互聯(lián)網(wǎng)——這可能意味著每分鐘有152,200臺物聯(lián)網(wǎng)設備連接。
但強大的力量帶來了巨大的責任。隨著潛在攻擊面呈指數(shù)級增長,從政府到公司再到個人,每個人面臨的風險成倍增加。例如,安全情報報告稱,Mozi僵尸網(wǎng)絡最近推動物聯(lián)網(wǎng)攻擊增加了500%。
為了在這個剛剛起步的行業(yè)中對抗和控制這些風險,美國聯(lián)邦政府推出了物聯(lián)網(wǎng)網(wǎng)絡安全立法,這將對2021年及以后的物聯(lián)網(wǎng)產(chǎn)品團隊產(chǎn)生深遠的影響。
事實上,它創(chuàng)建了一個每個人都必須滿足的事實上的基線網(wǎng)絡安全標準。
在這篇令人大開眼界的本文中,您會發(fā)現(xiàn):
- 新的網(wǎng)絡安全標準是什么
- 它如何影響您
- 你能做些什么
- 值得注意的國際網(wǎng)絡安全標準
假設您參與了任何IoT設備的設計、制造和營銷。在這種情況下,無論是針對公共部門組織還是針對個人——合規(guī)性對于證明您的產(chǎn)品的可行性至關重要。
這篇博文揭示了您現(xiàn)在需要知道的一切。
它是什么?
以下是新的物聯(lián)網(wǎng)網(wǎng)絡安全標準的細分:
- 2020年物聯(lián)網(wǎng)網(wǎng)絡安全改進法案要求各機構為聯(lián)邦政府擁有的物聯(lián)網(wǎng)設備提供更強大的網(wǎng)絡安全。
- 盡管其范圍似乎有限,但該法案的條款包括美國國家標準與技術研究院(NIST)制定補充安全標準和指導方針,以適當使用和管理所有相關物聯(lián)網(wǎng)設備——包括建立最低網(wǎng)絡安全要求以管理風險。
- 從表面上看,該立法僅涉及在2022年12月遵守NIST指南成為強制性要求時供應或競標政府合同的物聯(lián)網(wǎng)設備承包商。但由于美國政府是世界上最大的消費者之一,其最低標準將級聯(lián)整個行業(yè),并為所有連接的設備創(chuàng)建新的安全和標簽事實上的標準。簡而言之,所有物聯(lián)網(wǎng)設備制造商都應注意NIST物聯(lián)網(wǎng)網(wǎng)絡標準——即使您只專注于私人消費市場。
它會影響誰?
合規(guī)性將滲透到專注于工業(yè)和家庭物聯(lián)網(wǎng)產(chǎn)品的產(chǎn)品團隊。但是,如果您是一家向聯(lián)邦政府提供產(chǎn)品和服務的物聯(lián)網(wǎng)制造商(或正在考慮這樣做),那么您現(xiàn)在就需要注意了。
澄清一下,如果您參與開發(fā)以下產(chǎn)品,這可能意味著您:
- 美國農(nóng)業(yè)部(USDA)可能正在使用的智能農(nóng)業(yè)物聯(lián)網(wǎng)設備——例如無人機、運動探測器、光探測器、智能灌溉系統(tǒng)以及用于作物和牲畜管理的基于云的數(shù)據(jù)分析工具。
- 屬于環(huán)境保護署(EPA)職權范圍內(nèi)的水質(zhì)物聯(lián)網(wǎng)設備——例如浮標上的傳感器,用于監(jiān)測水質(zhì)和是否存在對海洋生物和人類有害的物質(zhì)。
- 對運輸安全管理局(TSA)有用的物聯(lián)網(wǎng)乘客處理、安全和監(jiān)控產(chǎn)品的安全,例如智能安全攝像頭、面部識別設備和自動檢查站。
它如何影響?
簡而言之,物聯(lián)網(wǎng)網(wǎng)絡安全改進法案(2020)和隨后的NIST標準要求網(wǎng)絡安全是物聯(lián)網(wǎng)產(chǎn)品整個生命周期中的重中之重。
這些關鍵組件闡明了您的物聯(lián)網(wǎng)產(chǎn)品團隊可能需要如何適應:
- 物聯(lián)網(wǎng)設備的NIST標準和指南將涵蓋安全開發(fā)、修補和配置管理以及身份管理。這將制定一項新的國家標準,以解決(除其他問題外)因無效設置安全設備密碼而造成的長期漏洞。
- NIST關于物聯(lián)網(wǎng)設備漏洞披露的指導方針意味著將有嚴格的指導方針來報告聯(lián)邦機構擁有或控制的任何物聯(lián)網(wǎng)設備中的所有網(wǎng)絡安全漏洞。報告的內(nèi)容應包括每個漏洞的披露以及解決方案。該要求適用于承包商和分包商
- 強制承包商遵守NIST標準和指南意味著到2022年12月,禁止所有聯(lián)邦機構采購或續(xù)簽合同以獲取首席信息官(CIO)認為不合規(guī)的任何物聯(lián)網(wǎng)設備。
這些是物聯(lián)網(wǎng)法案的主要含義。但是,如果您還沒有注意到它,現(xiàn)在是時候閱讀NIST的物聯(lián)網(wǎng)設備網(wǎng)絡安全指南草案,以了解詳細的分類。
該怎么辦?
如您所見,如果您是宣傳新業(yè)務的物聯(lián)網(wǎng)設備產(chǎn)品團隊的一員,那么是時候讓您的網(wǎng)絡船井然有序——如果您還沒有這樣做的話。
建議盡快轉(zhuǎn)向這個新的黃金標準。對于那些急于將設備投入生產(chǎn)以加速銷售的制造商或品牌來說,這可能是棺材上的最后一顆釘子。
因此,您現(xiàn)在可以采取以下幾個明智的舉措:
- 采用主動式網(wǎng)絡安全解決方案,在整個生命周期內(nèi)保護消費者物聯(lián)網(wǎng)設備。將計算機端點檢測和響應(EDR)應用于物聯(lián)網(wǎng)設備,意味著持續(xù)監(jiān)控威脅,實時阻止攻擊,并且定期安全更新的安全遠程提供保護每個產(chǎn)品免受最新威脅。因此,購買者可以放心,那些日常家庭或工作生活中不可或缺的便捷設備是安全、可靠和私密的。
- 提供具有24/7全天候安全監(jiān)控的網(wǎng)絡安全系統(tǒng)——近年來,太多基于云的智能設備遭受了備受矚目的黑客攻擊,但通過在設備級別應用24/7安全監(jiān)控可以緩解這種情況。
- 清楚地將您的設備標記為符合新標準——由于政府采購負責人將遵守新的、嚴格的合規(guī)性標準,因此通過明確說明您的產(chǎn)品嚴格遵守的情況,使他們的這部分工作更容易。符合新網(wǎng)絡保護標準的透明產(chǎn)品標簽將贏得客戶的青睞
國際規(guī)則和標準
不要忘記,如果您在各個國際司法管轄區(qū)進行交易,許多外國政府和跨國立法者也在加強他們的物聯(lián)網(wǎng)設備網(wǎng)絡安全標準:
- 新的英國網(wǎng)絡安全法將要求所有消費者聯(lián)網(wǎng)產(chǎn)品必須符合三項新的安全要求;允許安全問題報告的漏洞披露政策,禁止通用默認密碼,以及要求銷售點披露設備接收安全更新的最短時間。
- 《歐盟網(wǎng)絡安全法案》在整個歐盟范圍內(nèi)建立網(wǎng)絡安全認證框架,為各種ICT產(chǎn)品和服務創(chuàng)建計劃。每個方案都指定了相關的服務和產(chǎn)品類別、網(wǎng)絡安全要求(包括技術規(guī)范和標準)、預期的保證水平和評估類型。
全球范圍內(nèi)的規(guī)則和法規(guī)都在收緊,但如果您的物聯(lián)網(wǎng)產(chǎn)品團隊全神貫注,您可以利用合規(guī)性作為利用消費者信任和銷售的機會——這是一種獎勵而不是負擔。
換句話說,Cyber-as-a-Feature將成為一個更強大的物聯(lián)網(wǎng)品牌差異化因素,應該在您的營銷手冊中占據(jù)一席之地。
關鍵要點
我們希望這次新的物聯(lián)網(wǎng)網(wǎng)絡安全標準的實施能讓人大開眼界。
以下是一些需要考慮的關鍵要點:
- 新的物聯(lián)網(wǎng)網(wǎng)絡安全標準將成為適用于所有連接設備的新標準。最初由聯(lián)邦政府制定,以確保政府采購獲得最高級別的網(wǎng)絡保護,作為全國最大消費者的政府的權力和影響將認為這是所有物聯(lián)網(wǎng)或連接設備的新事實上的標準。
- 物聯(lián)網(wǎng)產(chǎn)品制造商已經(jīng)超越SBD,轉(zhuǎn)向主動網(wǎng)絡安全,在整個設備生命周期內(nèi)提供全面的安全和隱私,并保護用戶的隱私,在合規(guī)性方面處于領先地位。
- 世界各國都在應用同樣強大的物聯(lián)網(wǎng)網(wǎng)絡安全標準——如果您進行國際貿(mào)易,請注意。
- 當您銷售聯(lián)網(wǎng)設備時,網(wǎng)絡即功能(CaaF)可用作極具說服力的差異化因素,因為隨著新的網(wǎng)絡安全立法在全球范圍內(nèi)推出,客戶意識也將提高。
網(wǎng)絡安全標準是將公司定位為重視隱私和安全的領導者的機會,用雙手抓住它,因為您的業(yè)務將受益無窮。
