������ 歐盟準備對制造商提出更多要求,以在其無線和物聯網 (IoT) 設備中設計更高的安全性。在歐盟 2014 年無線電設備指令 (RED)的修正案中,歐盟委員會指出,隨著從手機到健身追蹤器再到智能手表的無線設備越來越多地融入日常消費者和商業生活,它們也成為更大的安全風險.
������ 該修正案的目標——稱為“授權法案”——是為了確保所有無線設備在歐盟銷售之前都是安全的。制造商在設計和生產這些產品時需要遵守新的網絡安全保護措施。此外,據歐盟官員稱,該修正案還將確保個人數據的更大隱私,防止金融欺詐,并提高歐洲通信網絡的彈性。
������� “網絡威脅發展迅速,”內部市場專員蒂埃里·布雷頓 (Thierry Breton) 在一份聲明中表示。“它們越來越復雜,適應性也越來越強。根據我們今天推出的要求,我們將極大地提高各種產品的安全性,并增強我們對網絡威脅的抵御能力,符合我們在歐洲的數字化雄心。”
�������� 美國在聯邦層面在物聯網安全方面取得了一些進展;歐盟的倡議是否會促使美國采取更大的行動或導致設備安全性的普遍改善還有待觀察。
歐盟通用安全標準
������ 布雷頓說,這也是歐盟為進入歐洲市場的產品和服務制定一套全面的通用網絡安全標準的更大努力的一部分。
����� 也就是說,市場需要一段時間才能看到 10 月底宣布的修正案的結果。它將需要歐洲理事會和歐洲議會的批準,然后進行為期兩個月的審查和審查。一旦到位,制造商將有 30 個月的時間開始滿足新的法律要求,直到 2024 年年中才能使設備合規。
���� 該修正案解決了在無線設備的使用和物聯網市場繼續急劇增長的情況下對安全性的持續關注。根據市場研究公司 IoT Analytics 的數據,今年全球企業在物聯網上的支出預計將達到1598 億美元,同比增長 24%,其中包括數百億個智能連接設備,從小型傳感器到大型工廠系統。年增加。分析師表示,未來幾年,它將以每年 26% 以上的速度增長。
物聯網市場增長
������ 此外,IDC 分析師在 7 月份寫道,第二季度智能手機出貨量比2020 年同期增長 13.2%,出貨量為 3.132 億臺。
���� 5G 的采用將為移動和物聯網設備帶來新功能,進一步推動設備增長——并引發新的安全問題(參見5G 的網絡安全風險——以及如何控制它們)。
被忽視的物聯網安全
������ 許多安全專家擔心設備制造商更關心設備的功能而不是安全性。歐盟官員在一份聲明中指出,COVID-19 大流行增加了無線設備的專業和個人用途,歐盟委員會的研究發現“越來越多的無線設備構成網絡安全風險。例如,此類研究標明了監視兒童行為或對話的玩具的風險;存儲在我們設備中的未加密個人數據,包括與支付相關的數據,可以輕松訪問;甚至可能濫用網絡資源從而降低其能力的設備。”
����� 網絡安全供應商 Netenrich 的首席威脅獵手 John Bambenek 對此并不感到意外。“許多物聯網設備制造商在 IT 或系統強化方面沒有經驗,”Bambenek 告訴 eSecurity Planet。“結果是設備存在微不足道的漏洞或缺陷,這些漏洞或缺陷在傳統計算中已經解決了十年或更長時間。由于這些設備在物理世界中起作用,這個問題變得更加復雜,因此風險可能更加深遠。”
仍需設備維護
�������� 物聯網安全供應商 Viakoo 的首席執行官 Bud Broomhead 告訴 eSecurity Planet,雖然歐盟的倡議將確保提高設備的初始安全性,但用戶將需要隨著時間的推移繼續維護系統。
������� “它永遠不會一勞永逸,”布魯姆黑德說。“網絡犯罪分子每天都在創造新的漏洞,導致許多物聯網設備安裝了過時的固件和其他可利用的漏洞。”
���� 他指出 FireEye 的一項研究表明,這些漏洞利用已經超過網絡釣魚攻擊,成為對組織的最大威脅。Broomhead 說,鑒于此,為設備設計更好的彈性變得越來越重要。
������� 制造商應將 EU RED 修正案中的要求視為構建更多網絡安全功能的機會而非負擔。班貝內克同意了。
���� “安全一直是任何產品或技術的成本,”他說。“幾十年前,我們接受了外部化的經濟概念——將成本傾銷給第三方以實現利潤最大化——現在我們需要接受風險外部化。即使制造商處于解決問題的最佳位置,這些設備被黑客入侵也不會造成任何傷害。”
歐盟修正案適用于許多設備
������ 歐洲的新要求將涉及范圍廣泛的無線設備,包括手機、平板電腦和其他通過互聯網進行通信的產品,例如嬰兒監視器和智能手表和健身追蹤器等可穿戴設備。這些設備必須包括確保通信網絡保護的功能,并確保這些設備不能用于破壞網站或類似服務。
���� 此外,設備制造商必須保證嵌入保護個人數據的功能,保護兒童權利將成為立法的關鍵部分。其他需要具備的功能必須將電子支付帶來的欺詐風險降至最低,例如更好的身份驗證控制。
����� 該修正案與歐盟委員會主席烏爾蘇拉·馮德萊恩最近宣布的歐盟網絡彈性法案相吻合,該法案將涵蓋更多產品。
������ Bambenek 和 Broomhead 都表示應該要求設備固件的快速和自動更新,并且應該消除默認或易于猜測的密碼。Bambenek 還表示,不應該允許不安全的遠程訪問,并且應該對第三方應用程序進行高度控制。對用戶數據的訪問也應該受到控制和審計。Broomhead 說這些設備應該是零信任模型的一部分,并且應該使用一種部署和管理證書的方法來驗證設備身份。
他還表示,網絡威脅和物聯網設備������的使用都是全球性問題,需要在全球范圍內進行協作和共享最佳實踐,以抵御不良行為者。班貝內克補充說,美國最好學習歐洲立法者的做法。
�������� “歐盟對隱私的看法一直比美國強,”他說。“我們的許多技術領導者都公開表示不應該有隱私權。在讓企業向社會傾銷成本方面,美國需要重新吸取 100 年前的經濟教訓。”
