歐盟準(zhǔn)備對(duì)制造商提出更多要求，以在其無線和物聯(lián)網(wǎng) (IoT) 設(shè)備中設(shè)計(jì)更高的安全性。在歐盟 2014 年無線電設(shè)備指令 (RED)的修正案中，歐盟委員會(huì)指出，隨著從手機(jī)到健身追蹤器再到智能手表的無線設(shè)備越來越多地融入日常消費(fèi)者和商業(yè)生活，它們也成為更大的安全風(fēng)險(xiǎn).

　　該修正案的目標(biāo)——稱為“授權(quán)法案”——是為了確保所有無線設(shè)備在歐盟銷售之前都是安全的。制造商在設(shè)計(jì)和生產(chǎn)這些產(chǎn)品時(shí)需要遵守新的網(wǎng)絡(luò)安全保護(hù)措施。此外，據(jù)歐盟官員稱，該修正案還將確保個(gè)人數(shù)據(jù)的更大隱私，防止金融欺詐，并提高歐洲通信網(wǎng)絡(luò)的彈性。

　　“網(wǎng)絡(luò)威脅發(fā)展迅速，”內(nèi)部市場專員蒂埃里·布雷頓 (Thierry Breton) 在一份聲明中表示。“它們越來越復(fù)雜，適應(yīng)性也越來越強(qiáng)。根據(jù)我們今天推出的要求，我們將極大地提高各種產(chǎn)品的安全性，并增強(qiáng)我們對(duì)網(wǎng)絡(luò)威脅的抵御能力，符合我們在歐洲的數(shù)字化雄心。”

　　美國在聯(lián)邦層面在物聯(lián)網(wǎng)安全方面取得了一些進(jìn)展；歐盟的倡議是否會(huì)促使美國采取更大的行動(dòng)或?qū)е略O(shè)備安全性的普遍改善還有待觀察。

　　歐盟通用安全標(biāo)準(zhǔn)

　　布雷頓說，這也是歐盟為進(jìn)入歐洲市場的產(chǎn)品和服務(wù)制定一套全面的通用網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的更大努力的一部分。

　　也就是說，市場需要一段時(shí)間才能看到 10 月底宣布的修正案的結(jié)果。它將需要?dú)W洲理事會(huì)和歐洲議會(huì)的批準(zhǔn)，然后進(jìn)行為期兩個(gè)月的審查和審查。一旦到位，制造商將有 30 個(gè)月的時(shí)間開始滿足新的法律要求，直到 2024 年年中才能使設(shè)備合規(guī)。

　　該修正案解決了在無線設(shè)備的使用和物聯(lián)網(wǎng)市場繼續(xù)急劇增長的情況下對(duì)安全性的持續(xù)關(guān)注。根據(jù)市場研究公司 IoT Analytics 的數(shù)據(jù)，今年全球企業(yè)在物聯(lián)網(wǎng)上的支出預(yù)計(jì)將達(dá)到1598 億美元，同比增長 24%，其中包括數(shù)百億個(gè)智能連接設(shè)備，從小型傳感器到大型工廠系統(tǒng)。年增加。分析師表示，未來幾年，它將以每年 26% 以上的速度增長。

　　物聯(lián)網(wǎng)市場增長

　　此外，IDC 分析師在 7 月份寫道，第二季度智能手機(jī)出貨量比2020 年同期增長 13.2%，出貨量為 3.132 億臺(tái)。

　　5G 的采用將為移動(dòng)和物聯(lián)網(wǎng)設(shè)備帶來新功能，進(jìn)一步推動(dòng)設(shè)備增長——并引發(fā)新的安全問題（參見5G 的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)——以及如何控制它們）。

　　被忽視的物聯(lián)網(wǎng)安全

　　許多安全專家擔(dān)心設(shè)備制造商更關(guān)心設(shè)備的功能而不是安全性。歐盟官員在一份聲明中指出，COVID-19 大流行增加了無線設(shè)備的專業(yè)和個(gè)人用途，歐盟委員會(huì)的研究發(fā)現(xiàn)“越來越多的無線設(shè)備構(gòu)成網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。例如，此類研究標(biāo)明了監(jiān)視兒童行為或?qū)υ挼耐婢叩娘L(fēng)險(xiǎn)；存儲(chǔ)在我們設(shè)備中的未加密個(gè)人數(shù)據(jù)，包括與支付相關(guān)的數(shù)據(jù)，可以輕松訪問；甚至可能濫用網(wǎng)絡(luò)資源從而降低其能力的設(shè)備。”

　　網(wǎng)絡(luò)安全供應(yīng)商 Netenrich 的首席威脅獵手 John Bambenek 對(duì)此并不感到意外。“許多物聯(lián)網(wǎng)設(shè)備制造商在 IT 或系統(tǒng)強(qiáng)化方面沒有經(jīng)驗(yàn)，”Bambenek 告訴 eSecurity Planet。“結(jié)果是設(shè)備存在微不足道的漏洞或缺陷，這些漏洞或缺陷在傳統(tǒng)計(jì)算中已經(jīng)解決了十年或更長時(shí)間。由于這些設(shè)備在物理世界中起作用，這個(gè)問題變得更加復(fù)雜，因此風(fēng)險(xiǎn)可能更加深遠(yuǎn)。”

　　仍需設(shè)備維護(hù)

　　物聯(lián)網(wǎng)安全供應(yīng)商 Viakoo 的首席執(zhí)行官 Bud Broomhead 告訴 eSecurity Planet，雖然歐盟的倡議將確保提高設(shè)備的初始安全性，但用戶將需要隨著時(shí)間的推移繼續(xù)維護(hù)系統(tǒng)。

　　“它永遠(yuǎn)不會(huì)一勞永逸，”布魯姆黑德說。“網(wǎng)絡(luò)犯罪分子每天都在創(chuàng)造新的漏洞，導(dǎo)致許多物聯(lián)網(wǎng)設(shè)備安裝了過時(shí)的固件和其他可利用的漏洞。”

　　他指出 FireEye 的一項(xiàng)研究表明，這些漏洞利用已經(jīng)超過網(wǎng)絡(luò)釣魚攻擊，成為對(duì)組織的最大威脅。Broomhead 說，鑒于此，為設(shè)備設(shè)計(jì)更好的彈性變得越來越重要。

　　制造商應(yīng)將 EU RED 修正案中的要求視為構(gòu)建更多網(wǎng)絡(luò)安全功能的機(jī)會(huì)而非負(fù)擔(dān)。班貝內(nèi)克同意了。

　　“安全一直是任何產(chǎn)品或技術(shù)的成本，”他說。“幾十年前，我們接受了外部化的經(jīng)濟(jì)概念——將成本傾銷給第三方以實(shí)現(xiàn)利潤最大化——現(xiàn)在我們需要接受風(fēng)險(xiǎn)外部化。即使制造商處于解決問題的最佳位置，這些設(shè)備被黑客入侵也不會(huì)造成任何傷害。”

　　歐盟修正案適用于許多設(shè)備

　　歐洲的新要求將涉及范圍廣泛的無線設(shè)備，包括手機(jī)、平板電腦和其他通過互聯(lián)網(wǎng)進(jìn)行通信的產(chǎn)品，例如嬰兒監(jiān)視器和智能手表和健身追蹤器等可穿戴設(shè)備。這些設(shè)備必須包括確保通信網(wǎng)絡(luò)保護(hù)的功能，并確保這些設(shè)備不能用于破壞網(wǎng)站或類似服務(wù)。

　　此外，設(shè)備制造商必須保證嵌入保護(hù)個(gè)人數(shù)據(jù)的功能，保護(hù)兒童權(quán)利將成為立法的關(guān)鍵部分。其他需要具備的功能必須將電子支付帶來的欺詐風(fēng)險(xiǎn)降至最低，例如更好的身份驗(yàn)證控制。

　　該修正案與歐盟委員會(huì)主席烏爾蘇拉·馮德萊恩最近宣布的歐盟網(wǎng)絡(luò)彈性法案相吻合，該法案將涵蓋更多產(chǎn)品。

　　Bambenek 和 Broomhead 都表示應(yīng)該要求設(shè)備固件的快速和自動(dòng)更新，并且應(yīng)該消除默認(rèn)或易于猜測的密碼。Bambenek 還表示，不應(yīng)該允許不安全的遠(yuǎn)程訪問，并且應(yīng)該對(duì)第三方應(yīng)用程序進(jìn)行高度控制。對(duì)用戶數(shù)據(jù)的訪問也應(yīng)該受到控制和審計(jì)。Broomhead 說這些設(shè)備應(yīng)該是零信任模型的一部分，并且應(yīng)該使用一種部署和管理證書的方法來驗(yàn)證設(shè)備身份。

　　他還表示，網(wǎng)絡(luò)威脅和物聯(lián)網(wǎng)設(shè)備的使用都是全球性問題，需要在全球范圍內(nèi)進(jìn)行協(xié)作和共享最佳實(shí)踐，以抵御不良行為者。班貝內(nèi)克補(bǔ)充說，美國最好學(xué)習(xí)歐洲立法者的做法。

　　“歐盟對(duì)隱私的看法一直比美國強(qiáng)，”他說。“我們的許多技術(shù)領(lǐng)導(dǎo)者都公開表示不應(yīng)該有隱私權(quán)。在讓企業(yè)向社會(huì)傾銷成本方面，美國需要重新吸取 100 年前的經(jīng)濟(jì)教訓(xùn)。”