全美物联网设备法案生效,提供合理的安全功能与防护

物联网

775人已加入

描述

全美第一部针对物联网设备安全的加州法案SB 327已在2020年1月1日正式生效,即日起要求连接设备的制造商须提供合理的安全功能,给给消费者物联网设备的基本安全防护。

法规推陈出新,规范标准设计顾及公用性

自2018年9月底通过后,加州法案SB 327《Title 1.81.26. Security of Connected Devices》(下称加州设备安全法)便持续受各界瞩目,除全美第一部物联网设备专法的代表性外,内容未臻完善的部分诸如合理安全(Reasonable Security)之定义、对HIPAA等法律的豁免性等也引发不少讨论。虽至生效日前加州政府并未有更进一步补充,然而经由法案颁行,也让在加州销售的设备制造商须于设计过程中确实提供安全措施,给给消费者对物联网设备的基本安全防护。

鉴于物联网规范标准陆续推陈出新,后续相关法规或机制的设计或将延续与兼容暨存法规,以提高公用性与国际对接,例如俄勒冈州物联网设备安全法(HouseBill2395)即是以加州法案为基础,仅将设备的范围聚焦于个人家庭,并对设备制造商定义略有出入,对于厂商须具备的安全防护要求则相似;国际认证单位UL推出的IoTSecurityRating则兼容现行部分法规框架之要求,以便厂商采用。

UL IoT Security Rating符合部分法规框架要求。(Source:UL;拓扑产业研究院整理整理,2020.1)

安全立法现聚焦产品设计,或需扩大至数据管理

观察近年物联网相关安全规范与标准,无论已发布的EU Cybersecurity Act 2019、US NIST IoT Cybersecurity Capabilities Base line、ETSI TS 103 645,抑或2020年始生效的加州设备安全法、英国酝酿中的安全标签等,皆将规范对象锁定在设备制造商,就设备之密码设置、软件更新、安全通信、数据加密等大方向进行管制。此举将物联网安全责任归属延伸至设计源头,通过官方与民间之机制消弭物联网的最大隐忧,构建消费者对物联网设备的信心以壮大市场,对消费者及厂商而言皆有正面影响可期。

物联网不仅有设备被黑客入侵及消费者疏于管理的安全议题,于数据管理也为风险管控点之一。近期发生的IoT设备商Wyze数据外泄事件,即是由于员工操作及内部管理不当,造成240万客户数据如用户名、账号、健康信息等暴露于网络上长达22天;Wyze事件受害者或将针对所受影响对企业提起集体诉讼,但事实上,现行物联网安全法规虽就设备设备多有着墨,然在企业或平台数据管理部分却相对乏善可陈。

经此事件,消费者于物联网的信任无疑又蒙了一层灰,故对政府及企业而言,当物联网相关厂商的商业模式是建基于信任上时,相关立法的对象除设备设计外,未来或也将进一步扩大范围,将数据管理纳入规范对象。

责任编辑:gt

打开APP阅读更多精彩内容
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉

全部0条评论

快来发表一下你的评论吧 !

×
20
完善资料,
赚取积分