与物联网设备可能受到损害的难易程度,加上违规的潜在极端后果,促使从立法和监管行动,而组是最好的决定?
双方的决策者物联网器件和政府都意识到了安全问题,但到目前为止,他们还没有想出办法标准化,以解决这些问题。
“这个市场的挑战是,它的移动如此之快,没有监管将是能够跟上正在连接的设备的步伐,” Forrester的副总裁兼研究总监梅里特马克西姆说。“条例是明确的是容易执行的和有益的,但他们会很快就会过时。”
由政府机构最近这样的努力是在英国一个提出的法规,将征收物联网设备制造商将解决关键的安全问题的三大任务:
- 设备密码必须是唯一的,并且将其复位到出厂默认设置将被禁止
- 设备制造商必须提供联系人的公共点漏洞的披露
- 设备制造商将不得不“明确规定的最短时间长度为该设备将接收安全更新”
这个建议是,生效上个月加州法律后图案。规则这两套很可能对物联网设备制造领域的全球影响,即使他们被强加在有限的司法管辖区。这是因为它的价格昂贵的设备制造商打造其产品的不同版本。
物联网特有的法规不能够对市场产生影响的唯一部分。Depending on the type of information a given device handles, it could be subject to the growing list of data-privacy laws being implemented around the world, most notably Europe’s General Data Protection Regulation, as well as industry-specific regulations in the U.S. and elsewhere.
美国食品和药物管理局指出马克西姆,已经在试图解决设备的安全漏洞特别活跃。例如,去年它发布安全警告约11漏洞,这些漏洞可能会危及医疗物联网设备已经通过物联网安全厂商发现,ARMIS。在其他情况下,发出了对医疗服务提供者的罚款。
但是,有一个与制定明确的法规对一般物联网设备,而不是指令性的那些只是敦促厂家采用最佳实践更广泛的问题,他说。
特别是公司可能已经将涵盖其垂直整合的产品安全框架 - 如物联网产业公司提供跨工厂的传感器安全 - 但那种安全的是不完整的物联网中的多供应商的世界。
也许最接近一般的物联网安全标准目前正在由美国保险商实验室(UL)的安全测试非盈利的电气设备了其古老的认证程序最有名的工作。UL的物联网安全等级计划提供了五级制的排名连接设备的安全性 - 青铜,白银,黄金,白金和钻石。
铜牌认证意味着该设备已经解决了最明显的安全缺陷,类似于那些在最近的英国和美国加州立法概述。在收视率较高包括像持续的安全维护,提高了访问控制和已知威胁检测能力。
虽然政府监管和行业自愿的改进,可以帮助保持未来的物联网系统的安全,无论是地址在物联网安全拼图的两个关键问题 - 各地的使他们的系统尽可能安全已经被部署在数以百万计不安全的设备和用户冷漠,根据马克西姆。
“需要一个非默认密码是好的,但不从设定不安全的密码阻止用户,”他警告说。“我们面临的挑战是,做客户关怀?他们愿意支付额外的产品与认证?”