物联网的安全应该谁来带头维护

政府机构和行业组织一直在尝试制定规则，以提高物联网的安全性，但迄今为止还没有发布一个更为全面的规则。

物联网设备很容易被破坏，再加上数据泄露行为可能带来的极端后果，促使立法机构和监管机构需要尽快采取行动，但最好由哪个组织来决定？

物联网设备制造商和政府都意识到了物联网的安全问题，但到目前为止，他们还没有提出解决这些问题的更好办法。

调研机构Forrester公司副总裁兼研究总监Merritt Maxim表示：“物联网市场面临的挑战在于发展如此之快，以至没有任何法规能够跟上正在连接的物联网设备的步伐。明确的法规易于实施也很有帮助，但很快就会过时。”

各国政府最近进行的这方面努力是英国的一项拟议法规，该法规将对物联网设备制造商施加三项主要授权，以解决关键的安全问题：

•设备密码必须是唯一的，并且禁止将其重置为出厂默认值。

•设备制造商必须提供公开的联系点以披露漏洞。

•设备制造商必须明确说明设备接收安全更新的最短时间。

该提案是根据上个月生效的加利福尼亚州隐私法律制定的。这两项法规都可能对物联网设备的制造产生全球性的影响，即使它们被限制在有限的管辖范围内。这是因为物联网设备制造商创建单独的产品非常昂贵。

物联网的特定法规并不是唯一对市场产生影响的法规。根据特定设备处理的信息类型，它可能会受到全球正在实施的越来越多的数据隐私法的制约，最显著的是欧洲的通用数据保护法规（GDPR），以及美国和其他地方的行业特定法规。

Maxim指出，美国食品药品监督管理局在解决设备安全漏洞方面特别积极。例如，去年它发布了有关11个漏洞的安全警告，这些漏洞可能会损害物联网安全供应商Armis公司的医疗物联网设备。在其他情况下，它对医疗保健提供者处以罚款。

他说，但总体而言，为物联网设备制定明确的法规存在一个更大的问题，而规范性法规只是敦促物联网设备制造商采用最佳实践。

特定的企业可能具有覆盖其垂直集成产品的集成安全框架，例如一家工业物联网公司提供跨工厂楼层传感器的安全性，但在物联网的多供应商世界中，这种安全性是不完整的。

美国保险商试验所（UL）正在研究与通用物联网安全标准最接近的规范，该组织是一家从事安全测试的非营利组织，以其百年历史的电气设备认证计划而闻名。UL的物联网安全评估计划提供了一个五个等级的评估系统，用于对物联网设备的安全性进行评级，其级别从低向高依次为铜、银、金、白金、钻石。

获得铜牌认证意味着物联网设备已解决了最明显的安全漏洞，类似于英国和加利福尼亚州近期立法中概述的漏洞。较高的评级包括诸如持续的安全维护，改进的访问控制和已知威胁测试之类的功能。

Maxim称，虽然政府监管和自愿的行业改进有助于保障未来物联网系统的安全，但这两项措施都没有解决物联网安全难题中的两个关键问题——大量已经部署的不安全物联网设备，以及用户对物联网设备安全无动于衷。

他警告说：“要求使用非默认密码的措施很好，但这并不能阻止用户设置不安全的密码。而现在面临的挑战是，客户是否在意？他们是否愿意为额外的产品与认证支付费用？”