立法之后物联网设备就可以保证安全了吗

我们最近研究了一些来自家庭中智能或连网设备的安全威胁，以及我们可以采用的解决方案。这些威胁之所以出现，是因为当我们购买这些设备时，它们通常是不安全的。解决方案似乎是显而易见的——确保设备在到达我们手里之前是安全的。

因此，需要立法。

我们将物联网设备分为三大类：商业物联网（物联网，作为商业IT的一部分使用）、工业物联网（IIOT，作为工业运营的一部分使用）、消费类物联网（我们在家里使用的智能设备）。

好消息是，世界上许多标准组织都在致力于制定物联网标准。坏消息是，只有两个立法机构在认真试图保护消费者的物联网安全，他们是加利福尼亚州和英国。

时任加州州长杰里·布朗于2018年9月签署了一项网络安全法案，即连网设备安全法案（严格来说，是SB327），它将于2020年1月生效。但是，尽管该法案对密码的要求受到了赞扬，但该法案的其他部分被认为是薄弱的。

法案要求每个生产的设备都有唯一的密码，并且要求用户在首次获得设备访问权限之前生成新的身份验证方法。此外，对“合理”和“适当”安全特性的要求被认为实际上毫无意义，因为制造商可能不知道这两个词的真正含义。

计划中的英国立法

这只是计划中的英国立法。如果可行，它将提高英国及其他地区智能设备的安全性。此外，如果可行的话，它还可以为其他国家的类似立法提供一个蓝图，就像欧盟的一般数据保护条例（GDPR）正在为新的隐私立法提供全球蓝图一样。

在本文中，我们将研究拟议中的立法，并考虑其是否有效。

立法

英国有传统的商业立法方法。它首先要求自愿遵守可接受的行为准则，通常会明确警告说，如果不自愿采取行动，立法将使其成为强制性的。

2018年10月，数字、文化、媒体和体育部（DCMS）发布了《消费类物联网设备行为安全准则》。它包括13条独立的建议，以确保智能设备的安全性，从没有默认密码到漏洞披露策略，以及方便消费者删除个人数据等。

这些建议的目的是针对结果的，而不是规定性的——它们描述了应该实现什么，但没有描述应该如何实现。但是，它们比加利福尼亚州立法的要求更为明确。

制造商在很大程度上忽视了英国的自愿行为准则。在商业上，如果不需要，他们就不会做。今年5月，英国政府开始从自愿向强制过渡。DCMS就政府关于消费者物联网安全的监管建议发布了一份咨询意见。

政府仍在缓慢推进，但毫无疑问要规范向家庭销售智能设备的意图。提议遵守行为守则，从前3项开始，分阶段引入所有13项要求。这些是：

1、所有物联网设备都应该有唯一的密码，并且不能重置为任何通用出厂默认值。

2、制造商应提供公共联络方式，作为漏洞披露政策的一部分，以便安全研究人员和其他人能够报告问题。

3、制造商将明确说明产品接收安全更新的最短时间。

磋商，不是是否应该执行这项法律，而是应该如何执行。

在这里，英国面临着所有提议监管技术的相同问题——如何在不妨碍产品创新和商业运营效率的情况下做到这一点？

英国政府说：“我们意识到抑制创新并对各种类型制造商带来沉重负担的风险，这就是为什么我们一直致力于根据《行为准则》的前3大准则，来定义基本安全的原因所在”。（来自物联之家网）事实上，监管与创新是一种不可调和的矛盾。

但还有一个问题需要解决：如何对海外制造商实施国家监管？最直接的答案是，不能这样做。因此，政府正在对英国经销商实施监管而不是对外国制造商。

实施

目前争议的焦点是应采用三种实施方案中的哪一种。它们都是从制造商的产品安全标签开始，因为立法禁止在英国销售没有制造商安全标签的产品。

三种实施方案是：

选项一：强制经销商只销售带有物联网安全标签的消费类物联网产品，制造商可以自行声明并在其消费类物联网产品上张贴安全标签。

选项二：要求经销商仅销售符合前3项要求的消费类物联网产品，制造商有责任自行声明其消费类物联网产品符合《消费类物联网设备行为安全准则》前3项要求和ETSI TS 103 645标准。

选项三：要求经销商仅销售带有标签的消费类物联网产品，该标签需证明符合《消费类物联网设备行为安全准则》的所有13项要求，制造商应自行申报，并确保标签出现在包装上。

这就是问题所在，所有这三个选项都要求制造商自行声明安全性。换句话说，政府正在推行强制性的自愿立法。在其拟议的格式中，这项立法依靠市场力量来执行。它不能强迫外国制造商制造安全设备，但它可以惩罚出售这些设备的英国经销商。它让经销商有义务迫使制造商遵守法规。

如果我们从立法历史中学到了什么，那就是制造商和经销商都将遵循阻力最小的要求。

政府的下一步行动将决定这项立法的目的是成功还是失败。例如，DMCS声明，“我们打算在议会时间允许的情况下制定主要立法，让DCMS事务大臣能够为强制性标签计划设定要求和/或为在英国销售的设备设定安全要求，这些要求将在二级立法中确立”。

英国的二级立法不需要议会投票——只需要相关官员的同意即可。DCMS还指出，政府的意图是强制执行《消费类物联网设备行为安全准则》的所有13项内容。（来源物联之家网）一旦这3项初步要求成为法律，从理论上讲，政府有可能在接下来的10个月内，每月要求一项（剩余的10项准则）成为法律，或者说，任何其他被认为相关的要求。

英国立法会让消费者物联网更加安全吗？

有用吗？可能有用，也可能没用，至少没有希望的那么有用。

有两个根本困难。第一是制造商的自我安全声明。有好主意的、新的、小的制造商将继续抢在竞争对手之前把他们的产品推向市场，而匆忙推向市场意味着产品功能的安全性开发不足。

不安全的产品仍然会进入市场——如果10台智能设备中有9台不让黑客进入，而第10台让黑客进入，那么对消费者来说，意义何在？

第二个问题是：由谁来认证产品是否符合要求？解决此类问题的标准方法是引入强制性第三方认证，而这可以通过二级立法轻松完成。但是，由谁来支付必要的产品测试费用？

如果由制造商来付费，那么他们可能会放弃向英国销售——英国只是庞大全球市场中的一个而已。

如果由经销商来付费，则有可能会将物联网设备赶出市场，从而让智能家居设备在英国市场上短缺。而用户可能会通过国外网站购买不安全、未经测试的外国产品。

政府显然意识到了这些问题，并希望在分阶段实施的同时繁荣市场，而不是一口气要求太多。不过，也只有时间才能证明它是否成功。

但现实是，这项立法本身并不能解决这些问题。成功的最大希望将是，如果有足够多的其他国家政府认为这一做法有价值，并颁布了要求采取同样措施的立法。（来自iothome）只有这样，才能迫使所有制造商构建安全的消费类物联网设备。

与此同时，我们所有人都有责任采取我们所能采取的预防措施，而不是假设我们购买的设备是安全的。正如Avast和斯坦福大学的最新研究表明，我们发现物联网世界中仍有很多地方没有受到保护。

来源：物联之家网