隨著當(dāng)今對(duì)數(shù)據(jù)隱私和數(shù)據(jù)安全的日益關(guān)注，物聯(lián)網(wǎng) (IoT) 制造商如果想保持消費(fèi)者的信任，就必須提高自己的競(jìng)爭(zhēng)力。這是歐洲電信標(biāo)準(zhǔn)協(xié)會(huì) (ETSI) 最新網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的共同目標(biāo)。

被稱為ETSI EN 303 645的消費(fèi)設(shè)備標(biāo)準(zhǔn)旨在確保數(shù)據(jù)安全并實(shí)現(xiàn)廣泛的制造商合規(guī)性。因此，隨著越來越多的設(shè)備進(jìn)入家庭和工作場(chǎng)所，讓我們更深入地研究這個(gè)標(biāo)準(zhǔn)。

ETSI 標(biāo)準(zhǔn)及其保護(hù)

它的名字雖長(zhǎng)，卻預(yù)示著一個(gè)重要的設(shè)備保護(hù)時(shí)代。ETSI EN 303 645 是認(rèn)證機(jī)構(gòu)用來評(píng)估物聯(lián)網(wǎng)設(shè)備安全性的標(biāo)準(zhǔn)和方法。ETSI 作為一項(xiàng)國際適用的標(biāo)準(zhǔn)而開發(fā)，它為制造商提供了安全基準(zhǔn)，而不是一套全面的精確指南。該標(biāo)準(zhǔn)還可能為全球不同地區(qū)未來的各種物聯(lián)網(wǎng)網(wǎng)絡(luò)安全認(rèn)證奠定基礎(chǔ)。

例如，看看歐盟正在發(fā)生的事情。去年 9 月，歐盟委員會(huì)提出了一項(xiàng)擬議的網(wǎng)絡(luò)彈性法案，旨在保護(hù)消費(fèi)者和企業(yè)免受安全功能不足的產(chǎn)品的侵害。如果獲得通過，這項(xiàng)全球首創(chuàng)的聯(lián)網(wǎng)設(shè)備立法將對(duì)在整個(gè)生命周期內(nèi)具有數(shù)字元素的產(chǎn)品提出強(qiáng)制性網(wǎng)絡(luò)安全要求。

禁止默認(rèn)密碼和弱密碼、保證支持軟件更新和強(qiáng)制測(cè)試安全漏洞只是其中的一些建議。有趣的是，這些相同的規(guī)則包含在 ETSI 標(biāo)準(zhǔn)中。

物聯(lián)網(wǎng)需要網(wǎng)絡(luò)安全標(biāo)準(zhǔn)

令人震驚的是，一個(gè)裝滿智能設(shè)備的家庭可能在一周內(nèi)遭受多達(dá)12,000 次網(wǎng)絡(luò)攻擊。雖然這些網(wǎng)絡(luò)攻擊中的大多數(shù)都會(huì)失敗，但絕對(duì)數(shù)量意味著一些不可避免地會(huì)通過。ETSI 標(biāo)準(zhǔn)努力通過基本的安全措施將這些攻擊拒之門外，其中許多措施應(yīng)該已經(jīng)成為常識(shí)，但不幸的是，今天并不總是如此。

例如，ETSI 標(biāo)準(zhǔn)的基本要求之一是沒有通用的默認(rèn)密碼。換句話說，您的健身追蹤器不應(yīng)與市場(chǎng)上該品牌的所有其他健身追蹤器具有相同的默認(rèn)密碼。您的智能安全攝像頭不應(yīng)該有任何擁有類似攝像頭的人都可以利用的默認(rèn)密碼。對(duì)于物聯(lián)網(wǎng)制造商來說，這似乎是常識(shí)，但已經(jīng)發(fā)生了大量違規(guī)事件，僅僅是因?yàn)閭€(gè)人不知道更改其設(shè)備上的默認(rèn)密碼。

ETSI 的另一個(gè)基本要求是允許個(gè)人刪除自己的數(shù)據(jù)。換句話說，用戶可以控制公司存儲(chǔ)的關(guān)于他們的數(shù)據(jù)。同樣，這在隱私領(lǐng)域是非常標(biāo)準(zhǔn)的東西，特別是考慮到歐洲的通用數(shù)據(jù)保護(hù)條例 (GDPR) 和加利福尼亞的消費(fèi)者隱私法案 (CCPA) 等法規(guī)。然而，這還不是物聯(lián)網(wǎng)設(shè)備的普遍要求。考慮到許多這些設(shè)備收集了多少與健康和健身相關(guān)的數(shù)據(jù)，消費(fèi)者數(shù)據(jù)隱私需要更加優(yōu)先考慮。

ETSI 中的更多規(guī)則與安裝在此類設(shè)備上的軟件以及提供商如何管理軟件的安全性有關(guān)。例如，需要有一個(gè)報(bào)告漏洞的系統(tǒng)。提供商需要使軟件保持最新并確保軟件完整性。我們自然會(huì)期望我們使用的幾乎所有軟件都采用此類安全措施，因此該標(biāo)準(zhǔn)基本上只是物聯(lián)網(wǎng)數(shù)據(jù)保護(hù)的最低要求。

重要的是，ETSI 標(biāo)準(zhǔn)涵蓋了幾乎所有可以被視為智能設(shè)備的東西，包括可穿戴設(shè)備、智能電視和相機(jī)、智能家居助手、智能電器等等。該標(biāo)準(zhǔn)還適用于連接的網(wǎng)關(guān)、集線器和基站。換句話說，它涵蓋了所有各種設(shè)備的集中接入點(diǎn)。

為什么設(shè)備制造商今天應(yīng)該實(shí)施標(biāo)準(zhǔn)

安全標(biāo)準(zhǔn)到底有多重要？由于缺乏消費(fèi)者信任，如今許多公司正在失去客戶。谷歌和亞馬遜等大公司未能充分保護(hù)用戶數(shù)據(jù)的故事太多了，尤其是物聯(lián)網(wǎng)由于隱私問題多次成為焦點(diǎn)。不想失去業(yè)務(wù)、面臨罰款和訴訟以及損害公司聲譽(yù)的物聯(lián)網(wǎng)制造商應(yīng)該理所當(dāng)然地考慮實(shí)施 ETSI 標(biāo)準(zhǔn)。

畢竟，如今一個(gè)家庭可能有多達(dá)16 臺(tái)聯(lián)網(wǎng)設(shè)備，每臺(tái)設(shè)備都是家庭網(wǎng)絡(luò)的入口點(diǎn)。公司可能每位員工擁有一臺(tái)筆記本電腦，但每位員工可能擁有兩臺(tái)、三臺(tái)或更多其他智能設(shè)備。同樣，每個(gè)智能設(shè)備都是惡意黑客的切入點(diǎn)。如果沒有像 ETSI EN 303 645 這樣全面的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，擁有不受保護(hù)的物聯(lián)網(wǎng)設(shè)備的人需要擔(dān)心身份盜竊、勒索軟件攻擊、數(shù)據(jù)丟失等等。

如何基于ETSI進(jìn)行測(cè)試和認(rèn)證

認(rèn)證是相當(dāng)基礎(chǔ)的，分為五個(gè)步驟：

制造商必須了解 ETSI 標(biāo)準(zhǔn)的 33 條要求和 35 條建議，并據(jù)此設(shè)計(jì)設(shè)備。

制造商還必須購買一個(gè)考慮到 ETSI 標(biāo)準(zhǔn)而構(gòu)建的物聯(lián)網(wǎng)平臺(tái)，因?yàn)樵摌?biāo)準(zhǔn)將從根本上影響設(shè)備的生產(chǎn)方式以及它們?cè)谄脚_(tái)內(nèi)的運(yùn)行方式。

接下來，任何試圖滿足 ETSI 標(biāo)準(zhǔn)的物聯(lián)網(wǎng)制造商都必須填寫提供設(shè)備評(píng)估信息的文件。第一份文件是實(shí)施一致性聲明，它顯示了物聯(lián)網(wǎng)設(shè)備滿足或不滿足的要求和建議。第二個(gè)是 Implementation eXtra Information for Testing，它提供了測(cè)試的設(shè)計(jì)細(xì)節(jié)。

測(cè)試提供商接下來將根據(jù)這兩個(gè)文件對(duì)產(chǎn)品進(jìn)行評(píng)估和測(cè)試，并給出報(bào)告。

測(cè)試提供商將提供印章或其他指示，表明產(chǎn)品符合 ETSI EN 303 645 標(biāo)準(zhǔn)。

隨著即將出臺(tái)的新法規(guī)，設(shè)備制造商和開發(fā)商應(yīng)將跟上該標(biāo)準(zhǔn)視為最佳實(shí)踐。更好的網(wǎng)絡(luò)安全不僅對(duì)消費(fèi)者保護(hù)很重要，對(duì)品牌聲譽(yù)也很重要。此外，該標(biāo)準(zhǔn)可為未來更嚴(yán)格的設(shè)備安全認(rèn)證和措施提供依據(jù)。為明天準(zhǔn)備今天。