在过去的几年中,国际标准化组织(ISO)、欧洲电信标准协会(ETSI)和美国国家标准与技术研究所(NIST)等标准制定组织发布了各种自愿性的物联网安全标准。然而,今天,世界各国政府有望采取更多措施来解决这一问题。监管和制定物联网标准的需求可能会给蓬勃发展的物联网行业带来财务压力。因此,各国政府正试图找到一种方法来解决物联网行业的问题。
例如,在芬兰,芬兰国家网络安全中心(NCSC-FI)和一些私营公司建立了公私合作伙伴关系,从而为物联网产品创建网络安全标签,以便消费者知道购买了什么设备,而英国则发布了《消费者物联网安全业务守则》。然而,力度还不够大。因此,英国政府决定制定一项更具约束力的立法,以确保消费物联网产品具有更强的安全性,并且目前正在对该主题进行公众咨询。在新加坡,新加坡网络安全局创建了提供网络安全等级级别的网络安全标签计划(CLS),以便消费者可以根据其安全等级选择产品。为了鼓励制造商申请标签,该机构免除了一年的CLS安全标签申请费。
最后,政府监管的最新例子发生在美国,上周颁布了《物联网网络安全改进法案》。根据这项两党立法:(1)国家标准与技术研究所(NIST)将公布联邦政府物联网设备使用和管理的标准和指南,包括最低信息安全要求;(2)管理和预算办公室(OMB)将审查联邦政府的信息安全政策,并进行任何必要的变更,以确保其符合NIST的建议;(3)NIST和OMB都必须至少每五年更新一次物联网安全标准、指南和政策;(4)联邦机构将不能使用不符合这些安全要求的物联网设备;(5) NIST将被要求发布与联邦机构信息系统(包括物联网设备)相关的安全漏洞报告指南;(6)OMB将负责制定和实施必要的政策,以解决与联邦机构信息系统(包括物联网设备)相关的安全漏洞,并符合NIST的已发布指南;(7)向美国政府提供物联网设备的承包商必须采取协调一致的漏洞披露政策,以便在发现漏洞时能够发布该信息。
简而言之,根据这项法律,NIST将负责为联邦政府制定物联网标准,而希望与政府合作的公司将必须遵守这些标准。让NIST承担这些责任的决定并不奇怪。在过去几年里,NIST发布了各种关于物联网标准的指导方针和项目,如保护小型企业和家庭物联网(IoT)设备、保护工业物联网安全以及物联网设备制造商的基础网络安全活动。此外,该机构被业界以及民间社会组织认可为需要解决这些问题的专业实体。
然而,值得注意的是,美国的做法与其他政府采取的上述措施不同。首先,这种方法不是直接与物联网设备制造商合作,而是为希望与联邦政府合作的公司提供激励,从而使他们选择如何开展业务。其次,该立法仅针对联邦政府拥有或控制的物联网设备,而不针对消费者的物联网,后者也构成了隐私和安全问题的源头。因此,该立法是否会产生连锁反应,甚至导致美国消费者物联网设备的安全和隐私标准发生变化,还有待观察。
