物联网安全标准和法规：我们现在在哪里？

随着政府寻求减轻日益增长的网络风险，不仅保护消费者，而且保护整个社会和经济，物联网的监管格局正在迅速发展。我们无疑正朝着正确的方向前进。尽管如此，随着无数标准、法规和基线要求被引入以强制增强整个物联网价值链的安全性，整个生态系统仍然存在一些混乱。

利益相关者正在努力实现更安全的互联未来。尽管如此，监管情况仍然很复杂，没有单一来源提出可在全球应用的建议和规范。

因此，虽然我们可能已经走了很长一段路，但需要用一种通用语言对监管环境进行解密和整理，并提供一个围绕物联网安全的通用框架，这对于释放其潜力至关重要。

现行法律法规

平均每月有 5,200 次对物联网设备的攻击，每天有 700 万条数据记录遭到破坏。2019 年，各国政府开始监管物联网，以减轻日益增长的网络风险，尤其是网络和设备安全。从那时起，物联网监管环境以相当快的速度成熟。

今天，挑战在于了解适用哪些法规以及物联网法规合规性是否足以提供足够的安全性。随着物联网监管要求和标准因地域而发生巨大变化，设计、制造和实施连接设备所面临的复杂性不容小觑。

在全球范围内，标准组织指导物联网安全的最佳实践和“基线”或“核心”要求。在世界许多地方，政府正在探索更严格的监管方法。例如，在加利福尼亚州，一项法律要求制造商实施“合理的安全功能”，例如，如果他们想向该市场的消费者销售产品，则每台设备都有唯一的密码。最近，美国总统出台了关于改善国家网络安全的行政命令，以推动物联网设备公司和软件供应商采用安全标准和标签要求。

2020 年 6 月，欧盟针对消费物联网(ETSI EN 303 645 V2.1.1) 产品推出了网络安全标准。为了推动更好的安全实践并在新的连接消费产品开发中采用安全设计原则，该标准由 13 条规定组成，其中没有通用的默认密码。

在英国，文化、媒体和体育部 (DCMS) 宣布了保护联网家用设备用户免受网络攻击威胁的新提案。这一积极举措是在政府自愿制定的消费者物联网安全设计实践准则之后实施的，有助于制定行业安全标准并勾勒制造商的期望。该方法基于三个安全要求——禁止通用默认密码、实施管理漏洞报告的方法，以及提供产品将在多长时间内收到安全更新的透明度。

在帮助确保更强大的安全性的同时，这些不同的标准只是物联网监管冰山一角。它们是行业混乱的一个很好的例子，特别是对于没有丰富的安全专业知识的公司来说。在我们的 2021 年 PSA 安全报告中，48% 的受访者认为标准和法规的分散是有关物联网安全的最大挑战。

建立行业碎片整理基准

好消息是，法律、法规以及基线要求和标准正在改变我们看待安全的方式——变得更好。它不再是事后的想法；它已移至待办事项列表的顶部。对于其他人来说，它们紧急提醒我们需要设计安全性以及不作为物联网公司的风险。稍后添加保护比从硅片上构建它的成本更高。

政府和行业兴趣的增加也使我们更接近于为所有设备建立安全基线，从连接的摄像头到智能仪表或连接的传感器。虽然每个行业和地域都有自己的安全要求，但在不断发展的生态系统中，拥有一个鼓励广泛遵守和通用语言的计划至关重要。您可以做的最具可扩展性的事情之一是采用安全设计方法，将信任根置于物联网安全的基础。这从一开始就建立了重要的安全基础，并帮助制造商建立对物联网的信任。

由于没有一种适用于所有解决方案来保护物联网部署，跨行业协作将成为建立最佳实践和建立共同安全基础的关键。但更重要的是，我们需要让制造商开发能够在不同平台和地区协同工作的设备。零散的新兴方法无助于企业从整体上查看其设备安全性。因此，摆脱硬件安全的孤立方法、建立在信任根的基础上并利用保证遵守全球和区域标准的认证对于扩展设备部署至关重要。

简化物联网的安全性

我们已经到了网络安全工作的关键转折点。在当今互联的世界中，用户、制造商和整个社会都面临着很多利害关系，全世界的监管机构都在做出回应。新的可执行标准虽然复杂，但有助于为更安全的物联网创建新框架。它们可能正是生态系统需要走到一起并打造一个更可信、更互联的未来所需的东西。