物联网安全和数据隐私监管
如今,随着数据越来越多地通过互联网和连接设备访问,实现物联网的软件开发项目必须包括保护隐私和加强安全性的措施。当涉及到物联网隐私时,法院必须诉诸U.K.消费者保护法1987年,建立的广告和反监测法,以抵消制造商的劣质安全实践。立法根本无法跟上技术创新,因此,案件弯曲以适应现有的现有法律。
物联网是一个正在大幅增长的信息技术部门,预计到2020年将有200亿至500亿联网设备。它承诺简化人们生活的很多方面。它也会渗透到生活的各个方面,这有很多专家关注。要处理连接设备的风险,适当的法规和不遵守法规的后果是至关重要的。
关于隐私和安全的条例
联邦网络局(Federal Network Agency)最近在德国成功封禁了联网娃娃“我的朋友凯拉”(My Friend Cayla)。德国的电信法规禁止隐藏设备的传输,纳粹德国和东德曾对这一法律进行过滥用监视。这个案例表明,不可能颁布全面的销售禁令。在物联网的定制软件开发中,自我监管显然没有起作用,因此政府开始采取行动。与此同时,联邦贸易委员会(Federal Trade Commission)有很多工作要做,起诉包括D-Link在内的制造商公司,趋势网,华硕和Revolv。华硕达成了一项协议,将提供至少20年的产品支持。在D-Link一案中,联邦贸易委员会不得不求助于该公司网站上的质疑声明,使之成为一场关于广告措辞的争议。
很明显,当局需要以物联网为中心的立法。联邦贸易委员会在法庭上支持消费者权益,并在2015年制定了物联网安全和隐私保护指南。在这段时间里,它没有呼吁进行监管,而是表示这是“不成熟的”,因为普遍的共识是,自我监管会做得更好,而且会避免阻止一个新兴行业的发展。
2017年网络安全改进法案
的2017年物联网网络安全改进法案是美国参议院的一项法案,为物联网设备安全制定了基本规则。虽然这项立法只适用于政府机构附属机构和供应商,但它可以帮助建立一个设备制造基准,从而影响商业生产。
法案规定物联网设备应该:
- 没有NIST漏洞数据库中列出的软件、硬件或固件漏洞
- 不使用硬编码或固定凭据进行远程管理,通信或更新
- 不要使用过时的网络或加密协议
- 能够接收可信和认证的软件更新,从制造商
- 是否对未来的更新提供支持,并及时修复新发现的漏洞
- 向消费者披露新发现的漏洞
物联网法规的重要性
物联网需要正确的法规来保护企业和消费者的安全,而不需要扼杀创新。制造商、监管机构和终端用户应该采取一些明智的措施,这可能决定成功与网络毁灭的区别。反对用户所有权运动仍可能阻碍走向监管的努力。维修权法案草案旨在延长产品寿命,使其更容易维修,甚至用户维修,使安全的固件更加困难,混淆和篡改技术被视为有效维修的障碍。
保护消费者的常识步骤
物联网应该放松管制因为严厉的方法可能会扼杀创新,也会限制无数小公司的选择,因为它们根本没有资源来应对无穷无尽的数据电话。以下是监管机构可以采取的一些常识性措施,既可以保护消费者,又可以保持温和的接触:
- 根据受害者人数和影响的严重程度,优先进行调查。
- 在回应监管机构的询问时,监管机构应定期报告努力程度,以最小化成本。
- 自动化结构调查与网络安全控制的行业标准查询。
- 让监管机构在他们的网站上提供测试脚本和抽样调查问题,以鼓励更多的自动化。
- 加快联邦法院的审查。
- 为以行业为中心的行业提供基于物联网使用实例的指导,包括必要的控制。
- 有监管机构提供简明和清晰的安全港选项,这对监管机构施加了更高的负担。
- 规章制度应该包括供应链的问责制。
- 当发现有合理行为的公司没有采取强制措施时,监管机构应提供违约调查信息。
- 监管机构应协调所有监管相同做法的机构的网络安全指导。
即使在不太可能的情况下,建议被采纳,物联网集成商、制造商和终端用户可能不得不改变他们的做法,并加强产品的网络安全和隐私控制。物联网行业现在已经足够成熟,可以从监管中受益。
谈到IOT规则,重要的是要在全球范围内接受连接设备的安全性和功能一样重要。从文化上讲,世界需要开发人员、制造商和安装人员彻底、完全地理解——以及理解——对良好安全的需要和提供良好安全的技能。目前,物联网是由开发商的创新欲望和买家的功能需求驱动的。如果没有适当的监管,物联网技术就很难管理。如果企业遵守法规和标准,就可以确保在网络安全领域提供可靠的服务。
所有IoT Agenda网络贡献者都对其帖子的内容和准确性负责。意见是作者的,不一定传达物联网议程的想法。