歐盟準(zhǔn)備對(duì)制造商提出更多要求����,以在其無(wú)線和物聯(lián)網(wǎng) (IoT) 設(shè)備中設(shè)計(jì)更高的安全性。在歐盟 2014 年無(wú)線電設(shè)備指令 (RED)的修正案中�,歐盟委員會(huì)指出,隨著從手機(jī)到健身追蹤器再到智能手表的無(wú)線設(shè)備越來(lái)越多地融入日常消費(fèi)者和商業(yè)生活��,它們也成為更大的安全風(fēng)險(xiǎn).
該修正案的目標(biāo)——稱(chēng)為“授權(quán)法案”——是為了確保所有無(wú)線設(shè)備在歐盟銷(xiāo)售之前都是安全的。制造商在設(shè)計(jì)和生產(chǎn)這些產(chǎn)品時(shí)需要遵守新的網(wǎng)絡(luò)安全保護(hù)措施�。此外,據(jù)歐盟官員稱(chēng)�,該修正案還將確保個(gè)人數(shù)據(jù)的更大隱私,防止金融欺詐���,并提高歐洲通信網(wǎng)絡(luò)的彈性����。
“網(wǎng)絡(luò)威脅發(fā)展迅速�,”內(nèi)部市場(chǎng)專(zhuān)員蒂埃里·布雷頓 (Thierry Breton) 在一份聲明中表示?����!八鼈?cè)絹?lái)越復(fù)雜�,適應(yīng)性也越來(lái)越強(qiáng)。根據(jù)我們今天推出的要求�����,我們將極大地提高各種產(chǎn)品的安全性�����,并增強(qiáng)我們對(duì)網(wǎng)絡(luò)威脅的抵御能力,符合我們?cè)跉W洲的數(shù)字化雄心��?����!?/p>
美國(guó)在聯(lián)邦層面在物聯(lián)網(wǎng)安全方面取得了一些進(jìn)展�;歐盟的倡議是否會(huì)促使美國(guó)采取更大的行動(dòng)或?qū)е略O(shè)備安全性的普遍改善還有待觀察�。
歐盟通用安全標(biāo)準(zhǔn)
布雷頓說(shuō),這也是歐盟為進(jìn)入歐洲市場(chǎng)的產(chǎn)品和服務(wù)制定一套全面的通用網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的更大努力的一部分���。
也就是說(shuō)�,市場(chǎng)需要一段時(shí)間才能看到 10 月底宣布的修正案的結(jié)果����。它將需要?dú)W洲理事會(huì)和歐洲議會(huì)的批準(zhǔn),然后進(jìn)行為期兩個(gè)月的審查和審查���。一旦到位�,制造商將有 30 個(gè)月的時(shí)間開(kāi)始滿(mǎn)足新的法律要求���,直到 2024 年年中才能使設(shè)備合規(guī)���。
該修正案解決了在無(wú)線設(shè)備的使用和物聯(lián)網(wǎng)市場(chǎng)繼續(xù)急劇增長(zhǎng)的情況下對(duì)安全性的持續(xù)關(guān)注�。根據(jù)市場(chǎng)研究公司 IoT Analytics 的數(shù)據(jù)����,今年全球企業(yè)在物聯(lián)網(wǎng)上的支出預(yù)計(jì)將達(dá)到1598 億美元,同比增長(zhǎng) 24%����,其中包括數(shù)百億個(gè)智能連接設(shè)備,從小型傳感器到大型工廠系統(tǒng)���。年增加����。分析師表示���,未來(lái)幾年�����,它將以每年 26% 以上的速度增長(zhǎng)����。
物聯(lián)網(wǎng)市場(chǎng)增長(zhǎng)
此外,IDC 分析師在 7 月份寫(xiě)道����,第二季度智能手機(jī)出貨量比2020 年同期增長(zhǎng) 13.2%,出貨量為 3.132 億臺(tái)���。
5G 的采用將為移動(dòng)和物聯(lián)網(wǎng)設(shè)備帶來(lái)新功能�����,進(jìn)一步推動(dòng)設(shè)備增長(zhǎng)——并引發(fā)新的安全問(wèn)題(參見(jiàn)5G 的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)——以及如何控制它們)。
被忽視的物聯(lián)網(wǎng)安全
許多安全專(zhuān)家擔(dān)心設(shè)備制造商更關(guān)心設(shè)備的功能而不是安全性���。歐盟官員在一份聲明中指出�,COVID-19 大流行增加了無(wú)線設(shè)備的專(zhuān)業(yè)和個(gè)人用途����,歐盟委員會(huì)的研究發(fā)現(xiàn)“越來(lái)越多的無(wú)線設(shè)備構(gòu)成網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。例如����,此類(lèi)研究標(biāo)明了監(jiān)視兒童行為或?qū)υ?huà)的玩具的風(fēng)險(xiǎn);存儲(chǔ)在我們?cè)O(shè)備中的未加密個(gè)人數(shù)據(jù),包括與支付相關(guān)的數(shù)據(jù)����,可以輕松訪問(wèn);甚至可能濫用網(wǎng)絡(luò)資源從而降低其能力的設(shè)備��?����!?/p>
網(wǎng)絡(luò)安全供應(yīng)商 Netenrich 的首席威脅獵手 John Bambenek 對(duì)此并不感到意外����。“許多物聯(lián)網(wǎng)設(shè)備制造商在 IT 或系統(tǒng)強(qiáng)化方面沒(méi)有經(jīng)驗(yàn)���,”Bambenek 告訴 eSecurity Planet���。“結(jié)果是設(shè)備存在微不足道的漏洞或缺陷���,這些漏洞或缺陷在傳統(tǒng)計(jì)算中已經(jīng)解決了十年或更長(zhǎng)時(shí)間����。由于這些設(shè)備在物理世界中起作用,這個(gè)問(wèn)題變得更加復(fù)雜���,因此風(fēng)險(xiǎn)可能更加深遠(yuǎn)��?!?/p>
仍需設(shè)備維護(hù)
物聯(lián)網(wǎng)安全供應(yīng)商 Viakoo 的首席執(zhí)行官 Bud Broomhead 告訴 eSecurity Planet����,雖然歐盟的倡議將確保提高設(shè)備的初始安全性,但用戶(hù)將需要隨著時(shí)間的推移繼續(xù)維護(hù)系統(tǒng)����。
“它永遠(yuǎn)不會(huì)一勞永逸,”布魯姆黑德說(shuō)����?��!熬W(wǎng)絡(luò)犯罪分子每天都在創(chuàng)造新的漏洞��,導(dǎo)致許多物聯(lián)網(wǎng)設(shè)備安裝了過(guò)時(shí)的固件和其他可利用的漏洞�?��!?/p>
他指出 FireEye 的一項(xiàng)研究表明�,這些漏洞利用已經(jīng)超過(guò)網(wǎng)絡(luò)釣魚(yú)攻擊,成為對(duì)組織的最大威脅����。Broomhead 說(shuō),鑒于此��,為設(shè)備設(shè)計(jì)更好的彈性變得越來(lái)越重要��。
制造商應(yīng)將 EU RED 修正案中的要求視為構(gòu)建更多網(wǎng)絡(luò)安全功能的機(jī)會(huì)而非負(fù)擔(dān)�����。班貝內(nèi)克同意了�。
“安全一直是任何產(chǎn)品或技術(shù)的成本,”他說(shuō)��?���!皫资昵埃覀兘邮芰送獠炕慕?jīng)濟(jì)概念——將成本傾銷(xiāo)給第三方以實(shí)現(xiàn)利潤(rùn)最大化——現(xiàn)在我們需要接受風(fēng)險(xiǎn)外部化��。即使制造商處于解決問(wèn)題的最佳位置��,這些設(shè)備被黑客入侵也不會(huì)造成任何傷害?����!?/p>
歐盟修正案適用于許多設(shè)備
歐洲的新要求將涉及范圍廣泛的無(wú)線設(shè)備���,包括手機(jī)���、平板電腦和其他通過(guò)互聯(lián)網(wǎng)進(jìn)行通信的產(chǎn)品,例如嬰兒監(jiān)視器和智能手表和健身追蹤器等可穿戴設(shè)備�����。這些設(shè)備必須包括確保通信網(wǎng)絡(luò)保護(hù)的功能�����,并確保這些設(shè)備不能用于破壞網(wǎng)站或類(lèi)似服務(wù)����。
此外��,設(shè)備制造商必須保證嵌入保護(hù)個(gè)人數(shù)據(jù)的功能�����,保護(hù)兒童權(quán)利將成為立法的關(guān)鍵部分。其他需要具備的功能必須將電子支付帶來(lái)的欺詐風(fēng)險(xiǎn)降至最低��,例如更好的身份驗(yàn)證控制�。
該修正案與歐盟委員會(huì)主席烏爾蘇拉·馮德萊恩最近宣布的歐盟網(wǎng)絡(luò)彈性法案相吻合,該法案將涵蓋更多產(chǎn)品��。
Bambenek 和 Broomhead 都表示應(yīng)該要求設(shè)備固件的快速和自動(dòng)更新�����,并且應(yīng)該消除默認(rèn)或易于猜測(cè)的密碼����。Bambenek 還表示,不應(yīng)該允許不安全的遠(yuǎn)程訪問(wèn)��,并且應(yīng)該對(duì)第三方應(yīng)用程序進(jìn)行高度控制����。對(duì)用戶(hù)數(shù)據(jù)的訪問(wèn)也應(yīng)該受到控制和審計(jì)。Broomhead 說(shuō)這些設(shè)備應(yīng)該是零信任模型的一部分�,并且應(yīng)該使用一種部署和管理證書(shū)的方法來(lái)驗(yàn)證設(shè)備身份。
他還表示�,網(wǎng)絡(luò)威脅和物聯(lián)網(wǎng)設(shè)備的使用都是全球性問(wèn)題����,需要在全球范圍內(nèi)進(jìn)行協(xié)作和共享最佳實(shí)踐����,以抵御不良行為者。班貝內(nèi)克補(bǔ)充說(shuō)�,美國(guó)最好學(xué)習(xí)歐洲立法者的做法。
“歐盟對(duì)隱私的看法一直比美國(guó)強(qiáng)����,”他說(shuō)?�!拔覀兊脑S多技術(shù)領(lǐng)導(dǎo)者都公開(kāi)表示不應(yīng)該有隱私權(quán)����。在讓企業(yè)向社會(huì)傾銷(xiāo)成本方面,美國(guó)需要重新吸取 100 年前的經(jīng)濟(jì)教訓(xùn)�����?��!?/p>
155-3713-9623
