新的欧盟标准标准会保护消费者免受物联网产品的侵害吗?
欧洲电信标准学院(ETSI)最近发布了技术规范103 645,试图帮助保护消费者免受物联网设备的侵害。该规范是由ETSI网络安全技术委员会提出的。
ETSI在全球范围内拥有近900名成员,包括ABB,佳能,爱立信,三菱,LG电子,Orange,Schneider Electric,Audi,Deutsche Bahn,Lufthansa Systems,Panasonic,Boschons,Bosch,Bosch,Samsung Electronics,Siemens,Siemens,Siemens,Siemens,Siemens,Siemens,Siemens,Siemens,Siemens,Siemens,Siemens和许多世界级世界级别的公司,。我们可以期望这些组织带领通往更安全的联系世界。
收紧物联网安全的控制
在物联网安全行业工作的每个人都知道目前就像野外西部。没有任何严格的法规,该行业就以较低的安全标准违约了,出于感知到的节省时间和成本的利益。
像安全带在具有GDPR的社交媒体中的汽车和隐私保护中的强制性一样,这只是一个与互联网连接设备的时间问题面临更严格的法律安全要求。
像美国人一样,有几项帮助该行业提高物联网安全的举措物联网网络安全法, 这网络盾牌法, 这聪明的物联网法,nist管理物联网网络安全和隐私风险,欧盟的网络安全法而且不要忘记最近的SB-327法案从2020年1月1日开始,加利福尼亚将强迫物联网设备上的基本安全性。有充分的理由相信这些代表了即将发生的事情。
一旦更严格的法规袭击了该行业,这些法规的现实可能会源于最佳实践和从所有正在进行的计划中获得的经验。因此,让我们更多地了解ETSI的新标准,以了解未来的影响。
立法者会从物联网产品中获得什么期望
TS 103 645带有一系列相当技术要求。不能说任何要求都超出了基本的卫生安全性,但是这一点的范围是确保与Internet连接的设备确保并不是一件容易的事。正确完成的是,必须从设计阶段到产品结束,直到产品结束。安全性作为拼凑而失败。新标准中提出的13条要求是:
- 没有通用默认密码
- 实施一种管理漏洞报告的方法
- 保持软件更新
- 安全存储凭据和对安全敏感的数据
- 安全地交流
- 最小化裸露攻击表面
- 确保软件完整性
- 确保个人数据得到保护
- 使系统弹性抵御停机
- 检查系统遥测数据
- 使消费者轻松删除个人数据
- 简化设备的安装和维护
- 验证输入数据
要了解有关这些要求的更多信息,点击这里。
保持软件更新
标准中的第三条要求通过措施措施来获得最大的关注,应被视为最重要的安全措施之一。有一种更新软件的方法可确保有后备选项,无论错误,漏洞以及设备是否已被利用。
“保持软件更新”的要求包括以下规定:
- 消费者IoT设备中的所有软件组件均应可牢固地更新
- 当需要更新时,应告知消费者
- 更新应及时 - 取决于严重程度
- 所有产品均应具有清晰的标签,寿命末日期
- 对于消费者而言,应清楚需要更新,并且易于做
- 基本功能应在更新期间继续运行
- 安全补丁必须通过安全频道交付
- 受限的设备应是可隔离的,可更换硬件
- 受约束的设备必须具有有关硬件更换的清晰寿命标签
可以实施几种开源软件更新机制,以确保其中许多要求存在。最受欢迎的是Mender.io。请注意关于尝试开发自己的本土更新程序方法。例如,新标准中的其他两个要求是安全通信并确保软件完整性。两者都对安全至关重要,但实际上很难实施,正如我们在Northern.Tech的日常练习中看到的那样。
获胜者对安全很认真
正如在“是什么将领导者与物联网中的落后者区分开来”,指的是麦肯锡对300家企业的研究结果,获奖者在其产品的设计和生命周期中考虑了安全性。随着监管机构越来越多地意识到确保世界上连接的设备的重要性,这只是每个供应商何时必须遵守基本安全措施的问题。好消息是,安全实际上被证明对企业有益。
所有的物联网议程网络贡献者都负责其帖子的内容和准确性。意见是作家的,不一定会传达物联网议程的思想。