是时候制定物联网安全标准了

近期，美国总统拜登签署了一项专门用于改善美国网络安全工作的行政命令。无论是最近对Colonial Pipeline的勒索软件攻击，还是之前对公共和私人资产的大量有害攻击，都急需该行政命令，它早就应该颁布了。

一个多世纪前，当第一台电动设备开始进入我们的家庭时，由于缺乏联邦安全电气标准，导致许多设备着火并烧毁了房屋。与历史相似的是，在当今物联网市场中（即嵌入传感器、软件和其他技术的智能设备网络，或者说是“万物”网络，其目的是通过互联网相互连接和交换数据），我们同样看到了安全标准的缺乏。消费者最熟悉的物联网产品包括语音助手、智能家居照明和安全摄像头。虽然物联网安全标准的欠缺并没有引发真正的火灾，但是却让消费者及其财物面临其他形式的严重危害。

我们自己造成的安全问题

大多数消费者错误地认为安全性已经预置在购买的物联网产品中了，但事实上并非如此。虽然行业联盟和政府机构已经发布了各种建立最低安全级别的指南和网络安全标准，但严峻的现实是，许多物联网设备制造商和供应商尚未采用或者实施其中任何一个。这就是为什么我们经常听到相关惊惧事件的原因了，像智能电器、医疗设备和婴儿监控的摄像头被黑客入侵、人们的隐私受到侵犯、数据被盗等等。物联网行业未能在大规模安全方面进行自我监管，实质上迫使政府监管机构介入以保护最终用户。据研究人员估计，40.8%的智能家居中至少有一个设备容易受到攻击，这是一个需要迫切关注的严峻形势。

正在进行中的立法

在2020年，美国通过了《2020年物联网网络安全改进法案》，这是美国第一条直接解决物联网安全问题的联邦法律。该法案要求联邦机构采购至少需符合最低网络安全标准的设备，并建立漏洞报告和通知程序。参议员Ed Markey(D-Mass.)和众议员Ted Lieu (D-Calif.)今年也再次提交网络保护法案，该法案旨在构建一个自愿系统来认证物联网设备的网络安全保护。该法案将创建一个由来自政府、行业和学术界的成员组成的联邦咨询委员会，以设定网络安全物联网基准。

对于行业外的人士来说，技术立法绝非易事，但随着未来几个月新技术法规的发展，行业和消费者都有必要为未来立法去了解一下物联网安全中最重要的考虑因素：

(1)买到的即是安全的：可以说，物联网安全需要改变的最重要的事情之一是政府需要强制物联网产品制造商构建默认安全的产品。新的物联网产品应该在启用安全功能的情况下开箱即用。这也意味着，一旦消费者将新的物联网设备添加到他们的网络中，该设备就可以安全使用了，不再需要任何进一步的安全配置。

(2)制造商运营安全：技术制造商需要在自己的运营中采用一套安全实践，以确保他们制造的产品实际上是安全的。例如，如果制造商不断遇到内部安全漏洞，而且这是由于其疏忽或不在意网络安全，或缺乏安全管理流程，那么可以公平地说其产品安全也可能不符合安全标准。

(3)必要的威胁建模研究：物联网设备制造商还需要了解产品如何开发、生产和客户如何使用产品相关的威胁和风险，这需要研究了解产品将如何使用，比如它将处理什么样的数据，最重要的是，谁可能想要破坏数据。一旦公司了解了谁是最有可能的黑客，就可以设计产品来阻止这些攻击者。

(4)强制的违规预案：公司必须证明他们具有有效的手段来应对网络安全事件。他们必须拥有运营安全事件响应流程，以便处理影响其运营的安全事件；必须拥有产品安全事件响应流程，以便帮助客户处理影响所购买产品和服务的安全事件。

(5)生命周期内安全升级：开发长生命周期产品的公司必须证明，在产品的预期生命周期内，他们有能力安全地更新和升级产品的安全性，以便及时应对新出现的威胁。

(6)供应链安全完整性：公司必须证明他们能够有效管理影响其整个供应链的风险和网络安全。随着时间的推移以及威胁的增长及变化，必须执行定期责任制检查以监控安全标准的合规性。

制定常识性的物联网安全立法不是一项简单的任务，但它是可以实现的，并且必须完成。拜登的行政命令令人鼓舞，并确认了采用业内许多公司已经采取的网络安全方法来保护物联网。这不是美国第一次处理有关家用电子产品安全产品政策的复杂立法，而且也不会是最后一次。我乐观地认为，如果行业集体分享最佳实践，安全技术专业人士可以帮助立法者起草法规，确保消费者数据安全，同时使物联网技术在我们的日常生活中继续蓬勃发展。

责任编辑：祁增园