2021 年联网设备安全立法展望

本文旨在就 2021 年产品开发的整个生命周期（从设计到交付及以后）如何影响连接设备（通常也称为物联网 (IoT) 设备）的安全性提供一些见解和预测.

目前，安全性主要仅在高端、下一代、昂贵的芯片中实现，这些芯片专为指定需要某种级别的安全性的公司而设计。然而，到 2021 年，这将不再是常态，因为安全性成为——或必须成为——所有芯片的固有设计特性，无论是 0.80 美元还是 8.00 美元的微控制器。虽然安全级别可能会根据所需的保护及其价值而有所不同，但每台设备都需要具有一定的“卫生”级别，该级别高于当今的标准。安全将因此成为主流。

同时，安全将成为开发流程的一部分，而不是分开。企业中的最高管理层将意识到保护代码意味着与保护客户和企业直接相关。他们将开始定义和制定政策以创建安全的供应链，公司可以在其中管理每个产品中的内容，包括其开发和升级程序，并保护其知识产权。这些策略旨在确保从设计到交付的每一步的安全性，并防止黑客攻击或后门。

此外，这些政策将要求安全及时地提供更新，并且只有在发生违规时，才能使用正确的加密技术应用来自正确供应商的正确版本的更新。

供应链的可追溯性

最后，我们将看到一个更安全的全球供应链的发展，它允许可追溯性，就像在农业/食品行业一样。在公司从不同制造商处采购最终集成到最终产品中的芯片、子组件和其他设备时，必须在每一个点强制执行安全性。

框架是从物联网安全基金会等组织演变而来的，这些组织需要将身份构建到产品中并包含在生产清单中。公司必须证明产品在其整个生命周期中是如何管理的，以确保它不被克隆、不被伪造并且是安全的。我们需要确保产品具有可追溯性，就像今天的食物可以从农场追溯到餐桌一样。

这种思维方式和行为的变化部分来自立法，部分来自潜在威胁。例如，美国于 2020 年 12 月 4 日通过了《物联网网络安全改进法案》 。它要求美国国家标准与技术研究院 (NIST) 和管理和预算办公室采取特定措施来提高物联网设备的网络安全。

这是 2020 年获得两党支持的少数法案之一，凸显了其重要性。在整个 2021 年，这将推动增强型设备的采用，因为它被强制执行以满足要求。这是一个巨大的转折点。他们将需要 Secure Thingz Embedded Trust 和 IAR Systems C-Trust 等产品来帮助满足这些要求。

另一个例子是在线危害立法，我们预计该立法将在 2021 年成为常态。世界各国都在通过法律，使他们能够阻止社交网络、搜索引擎和其他服务等服务，如果它们虚假地启用有害内容。此类立法将迫使最高管理层对其产品和服务的使用方式承担更多责任，包括对受害者的网络跟踪和强制操纵，以及主动修复或管理已知问题。

2021 年值得关注的其他重要事件包括：

GDPR 级别的罚款。欧盟签署了EN 303 645 消费者物联网标准，预计将对数据泄露采取通用数据保护级别 (GDPR) 罚款，罚款范围从 1000 万欧元到企业全球收入的 4% 不等。我们将看到其他国家效仿这一做法。

导致严重伤害或死亡的网络物理事件，例如汽车黑客攻击。

当 AI 系统学习或被教导错误行为时，可能会发生意外或故意的重大人工智能 (AI) 中毒事件。

这些是将影响 2021 年的最重要的安全发展，以及一些我们可以期待的关于“头条新闻”事件的预测。好消息是，存在确保应用程序安全并按预期使用的技术。让我们看看这一年会带来什么。

审核编辑 黄昊宇