安全标准是消费性物联网的必备条件

先前欧盟发布了《网络韧性法案》（Cyber Resilience Act），旨在加强欧洲的安全立法。欧盟委员会主席乌苏拉．冯德莱恩（Ursula von der Leyen）表示：「如果一切都是互联的，一切都可能被黑客攻击。」也就是说，联网装置越多，我们越容易遭受网络攻击。考虑到物联网（IoT）基础设施建设的广泛性，这无疑让人担忧。

新的立法旨在为所有联网装置制定通用的网络安全标准。对于现有与物联网装置相关的欧洲安全标准来说，新立法将进一步提供支持。

每当新技术出现时，安全和保障立法当然必须跟上，任何延迟都可能使消费者面临更高的风险。例如，英国第一条高速公路于1958年开通，之后发生了一系列致命车祸，但直到1965年才规定了速限。

同样地，对于当今的物联网市场来说，有必要加强相关的安全标准。这将降低消费者及其资产因恶意黑客攻击或网络犯罪活动而面临的威胁。

安全问题

大多数消费者认为，他们能买到的物联网产品已经内建安全功能，无需对现代家居中越来越常见的功能如语音助手、智能照明或监视器等进行设置或后续配置。然而，事实未必如此。许多人认为：既然没必要担心传统的电视或冰箱的安全性，那麽使用新款智能扬声器时，又有何担忧呢？

虽然产业联盟和政府机构已经发布了各种指南和网络安全标准，对最低安全级别做出了规定，但并非所有物联网装置制造商和供应商都执行了这些标准。这就是为什麽我们经常听到智能家电、医疗设备和婴儿监视器被黑客攻击、人们的隐私被侵犯，以及数据被窃取的事时有所闻。

由于物联网产业在安全自律方面移动不够迅速，世界各国政府不得不介入，以确保消费者权益得到充分保护。据研究人员估计，40.8%的智能家居中至少有一个装置易受攻击，而这是2019年的数据，毫无疑问，该数字还在继续上升。

立法进行时
欧盟新发布的《网络韧性法案》是一个充满希望的开端，但要解决所有必要的细节问题仍有许多工作要执行。

关于技术的立法可能是个复杂的过程，但关键是产业和消费者都必须意识到物联网安全与未来监管措施息息相关：

(1)缺省安全：对于政府来说最需要进行的改变是需要要求物联网产品在上市时即保证安全。新的物联网产品在开箱时就应具备安全使用功能。这也意味着，一旦消费者将新的物联网装置新增到其网络中，该装置应无需任何进一步配置即可安全使用。先前英国政府推出了《产品安全和电信基础设施法案》（PSTI），该法案直接针对的是那些出厂时带有通用缺省口令的产品。除了针对装置设定的安全要求外，如不遵守该法案还将受到处罚。这将对消费者产生真正的影响，因为在英国，生产或销售物联网装置的任何公司如果不符合新标准，都将受到处罚，对于这些公司而言，这将是最基本的底线。欧盟会密切关注该法案对市场的影响。

(2)威胁模型分析：物联网装置制造商需要考虑产品在开发、生产和使用过程中面临的威胁和风险。这就需要进行研究，以了解消费者将如何操作产品、产品将处理何种数据、以及最重要的是谁可能会破坏这些数据。一旦企业了解到谁最可能是攻击者，就可以设计出能够阻止攻击者的产品。

(3)安全事件的因应和处理流程：公司必须证明其能够有效因应网络安全事件。公司必须具备营运安全事件应变流程，以解决影响其营运的事件。同时，还应具备产品安全事件应变流程，以协助消费者解决与产品相关的安全事件。

(4)终身安全：如果公司开发的产品部署周期较长，则必须证明在这些产品的预期生命周期内，这些产品的安全性能够可靠地更新/升级，以因应可能出现的任何新威胁。

(5)安全营运：技术制造商必须在自己的营运中采取安全措施，以确保其生产的产品是安全可靠的。例如，如果制造商因网络安全疏忽或受损或缺乏安全管理流程而不断出现内部安全性漏洞，则有理由认为其产品自身的安全性不足。

(6)供应链合规性：公司必须证明其能够有效管理网络安全风险，因为网络安全风险会影响整个供应链。随着时间的推移以及威胁不断地增加和变化，必须进行定期问责检查，以监控安全标准是否合规。

制定合乎常识的物联网安全法规至关重要但并非易事，不过这个目标是可以实现，且毫无疑问必须要实现的。对于业界许多公司已经采取的物联网安全措施而言，英国政府和欧盟的相关声明无疑是一种鼓励和认可。如果产业能够共享最佳做法，安全技术专家就能够帮助立法者起草法规，在保证消费者数据安全的同时，让物联网技术在我们的日常生活中继续蓬勃发展。