歐盟貿(mào)易協(xié)會 DigitalEurope 于周三(9 月 8 日)發(fā)布的一份報告強調(diào)缺乏基礎網(wǎng)絡安全要求，稱現(xiàn)有規(guī)則不充分，并呼吁在歐盟努力更新其網(wǎng)絡安全立法時進行橫向監(jiān)管。

[[422846]]

隨著人們家中和日常生活中通過物聯(lián)網(wǎng) (IoT) 連接的設備數(shù)量迅速增加，網(wǎng)絡攻擊的脆弱性正在增加。

Euroconsumers 的道德黑客最近進行的一項測試發(fā)現(xiàn)，數(shù)量驚人的普通智能家居設備(例如 WiFi 路由器、嬰兒監(jiān)視器和警報系統(tǒng))存在嚴重缺陷，使它們?nèi)菀资艿娇赡芊浅Ｃ舾械穆┒吹挠绊憽?/p>

然而，根據(jù) DigitalEurope 的報告，現(xiàn)有的產(chǎn)品立法在解決網(wǎng)絡安全方面存在不足。

“由于其范圍和合格評定方法通常旨在解決物理產(chǎn)品功能，現(xiàn)有的產(chǎn)品立法無法正確解決管理或組織方面的問題，這對于更多類型的設備而言更為突出和常見，”

去年 12 月，作為其新的歐盟網(wǎng)絡安全戰(zhàn)略的一部分，歐盟委員會發(fā)起了一項提案，以修訂網(wǎng)絡和信息安全 (NIS) 指令中設定的網(wǎng)絡安全標準，這是歐盟范圍內(nèi)關于該主題的首個立法。

新的立法，即所謂的 NIS2，旨在加強和擴大其前身的監(jiān)管范圍和數(shù)量，以應對網(wǎng)絡威脅的普遍上升，但也應對大流行引起的對網(wǎng)絡和信息依賴的增加所導致的日益嚴重的脆弱性服務。

大西洋理事會(Atlantic Council)網(wǎng)絡和平研究所(cyber Peace Institute)首席公共政策官克拉拉·喬丹(Klara Jordan)表示，當前的網(wǎng)絡彈性狀態(tài)是一個“惡性循環(huán)”，既要處理后果，又要減輕威脅，這種惡性循環(huán)有可能“破壞對數(shù)字生態(tài)系統(tǒng)的信任，阻止我們充分利用技術”。這是其在最近的一次網(wǎng)絡安全會議上警告。

統(tǒng)一的橫向措施

接受 DigitalEurope 報告調(diào)查的專家絕大多數(shù)警告說，網(wǎng)絡安全不應完全或主要將其重點放在與產(chǎn)品相關的功能上，例如密碼，而是強調(diào)為了充分保護，必須考慮組織要求。

該報告指出，當前的歐盟產(chǎn)品規(guī)則基于可物理驗證的因素，例如產(chǎn)品的電氣特性或制造材料，無法充分應用于網(wǎng)絡安全等無形事物。

另一個問題是，目前驗證是在產(chǎn)品投放市場的那一刻進行的，在整個生命周期中沒有為持續(xù)監(jiān)控留出空間，這是在不斷發(fā)展的網(wǎng)絡安全威脅和漏洞之前保持領先所必需的。

鑒于通用產(chǎn)品和組織基線網(wǎng)絡安全要求的比例很高，DigitalEurope 咨詢的人一致認為，為連接設備定義這些要求對于確保其整體安全至關重要。

報告稱，在該領域?qū)嵤M向監(jiān)管是確保立法與標準之間充分聯(lián)系、協(xié)調(diào)不同產(chǎn)品和不同領域要求的關鍵方式。報告警告說，現(xiàn)有的產(chǎn)品立法是不夠的。

NIS2 指令的報告員 Bart Groothuis 告訴 EURACTIV，報告中要求的那種橫向立法是非常需要的，但不適合當前的 NIS2 提案，他說他已經(jīng)向委員會提出了一些問題的場合。

“如果沒有這樣的橫向立法，歐盟網(wǎng)絡安全戰(zhàn)略將是不完整的”，他說。 “委員會應該在盡可能短的時間內(nèi)提出提案。”

DigitalEurope 表示，如果將現(xiàn)有產(chǎn)品立法用于解決網(wǎng)絡安全問題，則應僅限于基本要求，并在橫向法規(guī)生效后予以廢除。

可入侵的房屋

Euroconsumers 的研究展示了這些風險如何在非常個人的層面上影響消費者。

作為他們的“Hackable Home”項目的一部分，兩名道德黑客測試了由知名和不太知名的生產(chǎn)商生產(chǎn)的 16 種廣泛使用的智能家居設備，總共發(fā)現(xiàn)了 54 個漏洞。在試用的 10 個設備中，至少檢測到的一個弱點被歸類為“高嚴重性”或“嚴重”。

“結(jié)果令人擔憂，”歐洲消費者政策和執(zhí)行主管埃爾斯·布魯格曼說。“制造商必須做得更多。這對建立消費者信任至關重要，這將使整個物聯(lián)網(wǎng)生態(tài)系統(tǒng)蓬勃發(fā)展。如果它不安全，它就不應該存在。”

調(diào)查結(jié)果回應了其他團體和專家對目前市場上許多智能設備中發(fā)現(xiàn)的潛在風險的擔憂。 在許多情況下，密碼是弱點，特別是當設備出廠時帶有用戶通常不會更改的默認登錄詳細信息。

英國消費者團體今年早些時候，在短短一周內(nèi)檢測到 2,435 次惡意嘗試使用弱默認用戶名和密碼登錄“智能家居”設備。