物聯(lián)網(wǎng)(IoT)的迅猛發(fā)展產(chǎn)生了令人瞠目結(jié)舌的統(tǒng)計(jì)數(shù)據(jù)。

例如，國(guó)際數(shù)據(jù)公司(International Data Corporation)總裁弗農(nóng)·特納(Vernon Turner)預(yù)測(cè)，到2025年，將有800億臺(tái)設(shè)備連接到互聯(lián)網(wǎng)——這意味著每分鐘將有152200臺(tái)物聯(lián)網(wǎng)設(shè)備連接。

但強(qiáng)大的力量帶來(lái)巨大的責(zé)任。隨著潛在的攻擊面呈指數(shù)級(jí)擴(kuò)大，從政府到公司再到個(gè)人，每個(gè)人的風(fēng)險(xiǎn)都會(huì)成倍增加。例如，安全情報(bào)報(bào)告稱，Mozi僵尸網(wǎng)絡(luò)最近導(dǎo)致物聯(lián)網(wǎng)攻擊增加了500%。

為了在這個(gè)剛剛起步的行業(yè)中對(duì)抗和控制這些風(fēng)險(xiǎn)，美國(guó)聯(lián)邦政府推出了物聯(lián)網(wǎng)網(wǎng)絡(luò)安全立法，這將對(duì) 2021 年及以后的物聯(lián)網(wǎng)產(chǎn)品團(tuán)隊(duì)產(chǎn)生深遠(yuǎn)的影響。

事實(shí)上，它創(chuàng)建了一個(gè)每個(gè)人都必須滿足的事實(shí)上的基線網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。

[[427729]]

在這篇令人大開眼界的博文中，您會(huì)發(fā)現(xiàn)：

• 新的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)是什么
• 它如何影響你
• 你能做些什么
• 值得注意的國(guó)際網(wǎng)絡(luò)安全標(biāo)準(zhǔn)

假設(shè)您參與了任何 IoT 設(shè)備的設(shè)計(jì)、制造和營(yíng)銷。在這種情況下，無(wú)論是針對(duì)公共部門組織還是針對(duì)個(gè)人——合規(guī)性對(duì)于證明您的產(chǎn)品的可行性至關(guān)重要。

這篇博文揭示了您現(xiàn)在需要知道的一切。

它是什么?

以下是新的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的細(xì)分：

• 2020 年物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案要求聯(lián)邦政府擁有的物聯(lián)網(wǎng)設(shè)備機(jī)構(gòu)提供更強(qiáng)大的網(wǎng)絡(luò)安全。

• 盡管其范圍似乎有限，但該法案的條款包括指導(dǎo)美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST) 制定補(bǔ)充安全標(biāo)準(zhǔn)和指南，以適當(dāng)使用和管理所有相關(guān)的物聯(lián)網(wǎng)設(shè)備——包括建立管理風(fēng)險(xiǎn)的最低網(wǎng)絡(luò)安全要求。

• 從表面上看，這項(xiàng)立法只涉及物聯(lián)網(wǎng)設(shè)備承包商在 2022 年 12 月遵守 NIST 指南成為強(qiáng)制性要求時(shí)供應(yīng)或競(jìng)標(biāo)政府合同。但由于美國(guó)政府是世界上最大的消費(fèi)者之一，其最低標(biāo)準(zhǔn)將級(jí)聯(lián)整個(gè)行業(yè)，并為所有連接的設(shè)備創(chuàng)建新的安全和標(biāo)簽事實(shí)上的標(biāo)準(zhǔn)。簡(jiǎn)而言之，所有物聯(lián)網(wǎng)設(shè)備制造商都應(yīng)注意 NIST 物聯(lián)網(wǎng)網(wǎng)絡(luò)標(biāo)準(zhǔn)——即使您只專注于私人消費(fèi)市場(chǎng)。

它會(huì)影響誰(shuí)?

合規(guī)性將滲透到專注于工業(yè)和家庭物聯(lián)網(wǎng)產(chǎn)品的產(chǎn)品團(tuán)隊(duì)。但是，如果您是一家向聯(lián)邦政府提供產(chǎn)品和服務(wù)的物聯(lián)網(wǎng)制造商(或正在考慮這樣做)，那么您現(xiàn)在就需要注意了。

澄清一下，如果您參與開發(fā)以下產(chǎn)品，這可能意味著您：

• 美國(guó)農(nóng)業(yè)部 (USDA) 可能正在使用的智能農(nóng)業(yè)物聯(lián)網(wǎng)設(shè)備，例如無(wú)人機(jī)、運(yùn)動(dòng)探測(cè)器、光探測(cè)器、智能灌溉系統(tǒng)以及用于作物和牲畜管理的基于云的數(shù)據(jù)分析工具。
• 屬于環(huán)境保護(hù)署 (EPA) 職權(quán)范圍內(nèi)的水質(zhì)物聯(lián)網(wǎng)設(shè)備——例如浮標(biāo)上的傳感器，用于監(jiān)測(cè)水質(zhì)并監(jiān)測(cè)對(duì)海洋生物和人類有害的物質(zhì)的存在。
• 對(duì)運(yùn)輸安全管理局 (TSA) 有用的安全物聯(lián)網(wǎng)乘客處理、安全和監(jiān)控產(chǎn)品，例如智能安全攝像頭、面部識(shí)別設(shè)備和自動(dòng)檢查站。

它如何影響我?

簡(jiǎn)而言之，物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案 (2020) 和隨后的 NIST 標(biāo)準(zhǔn)要求網(wǎng)絡(luò)安全是物聯(lián)網(wǎng)產(chǎn)品整個(gè)生命周期中的重中之重。

這些關(guān)鍵組件闡明了您的物聯(lián)網(wǎng)產(chǎn)品團(tuán)隊(duì)可能需要如何適應(yīng)：

• 物聯(lián)網(wǎng)設(shè)備的 NIST 標(biāo)準(zhǔn)和指南將涵蓋安全開發(fā)、修補(bǔ)和配置管理以及身份管理。這將制定一項(xiàng)新的國(guó)家標(biāo)準(zhǔn)，以解決(除其他問題外)因無(wú)效設(shè)置安全設(shè)備密碼而造成的長(zhǎng)期漏洞。

• NIST 關(guān)于物聯(lián)網(wǎng)設(shè)備漏洞披露的指導(dǎo)方針意味著將有嚴(yán)格的指導(dǎo)方針來(lái)報(bào)告聯(lián)邦機(jī)構(gòu)擁有或控制的任何物聯(lián)網(wǎng)設(shè)備中的所有網(wǎng)絡(luò)安全漏洞。報(bào)告的內(nèi)容應(yīng)包括每個(gè)漏洞的披露以及解決方案。該要求適用于承包商和分包商

• 承包商遵守 NIST 標(biāo)準(zhǔn)和指南意味著到 2022 年 12 月，禁止所有聯(lián)邦機(jī)構(gòu)采購(gòu)或續(xù)簽合同，以獲取首席信息官 (CIO) 認(rèn)為不合規(guī)的任何物聯(lián)網(wǎng)設(shè)備。

這些是物聯(lián)網(wǎng)法案的主要含義。但是，如果您還沒有注意到它，那么現(xiàn)在是時(shí)候閱讀 NIST 的物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)安全指南草案，以獲得詳細(xì)的細(xì)分。

我該怎么辦?

如您所見，如果您是宣傳新業(yè)務(wù)的物聯(lián)網(wǎng)設(shè)備產(chǎn)品團(tuán)隊(duì)的一員，那么現(xiàn)在是時(shí)候讓您的網(wǎng)絡(luò)船井然有序——如果您還沒有這樣做的話。

建議盡快轉(zhuǎn)向這個(gè)新的黃金標(biāo)準(zhǔn)。對(duì)于那些急于將設(shè)備投入生產(chǎn)以加速銷售的制造商或品牌來(lái)說(shuō)，這可能是棺材上的最后一顆釘子。

因此，您現(xiàn)在可以采取以下幾個(gè)明智的舉措：

• 采用主動(dòng)式網(wǎng)絡(luò)安全解決方案，在整個(gè)生命周期內(nèi)保護(hù)消費(fèi)者物聯(lián)網(wǎng)設(shè)備。將計(jì)算機(jī)端點(diǎn)檢測(cè)和響應(yīng) (EDR) 應(yīng)用于物聯(lián)網(wǎng)設(shè)備，意味著持續(xù)監(jiān)控威脅，實(shí)時(shí)阻止攻擊，定期安全更新的安全遠(yuǎn)程提供保護(hù)每個(gè)產(chǎn)品免受最新威脅。因此，購(gòu)買者可以放心，那些日常家庭或工作生活中不可或缺的便攜式設(shè)備是安全、可靠和私密的。

• 提供具有 24/7 安全監(jiān)控的網(wǎng)絡(luò)安全系統(tǒng)——近年來(lái)，太多基于云的智能設(shè)備遭受了備受矚目的黑客攻擊，但通過在設(shè)備級(jí)別應(yīng)用 24/7 安全監(jiān)控可以緩解這種情況。

• 清楚地將您的設(shè)備標(biāo)記為符合新標(biāo)準(zhǔn)——由于政府采購(gòu)負(fù)責(zé)人將遵守新的、嚴(yán)格的合規(guī)性標(biāo)準(zhǔn)，因此通過明確說(shuō)明您的產(chǎn)品嚴(yán)格遵守的情況，使他們的這部分工作變得更容易。符合新網(wǎng)絡(luò)保護(hù)標(biāo)準(zhǔn)的透明產(chǎn)品標(biāo)簽將贏得客戶的信任。如果您的物聯(lián)網(wǎng)產(chǎn)品已經(jīng)滿足上述所有網(wǎng)絡(luò)安全要求，那就太棒了。

國(guó)際規(guī)則和標(biāo)準(zhǔn)

不要忘記，如果您在各個(gè)國(guó)際司法管轄區(qū)進(jìn)行交易，許多外國(guó)政府和跨國(guó)立法者也在加強(qiáng)他們的物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)安全標(biāo)準(zhǔn)：

• 新的英國(guó)網(wǎng)絡(luò)安全法將要求所有消費(fèi)者聯(lián)網(wǎng)產(chǎn)品必須符合三項(xiàng)新的安全要求;允許安全問題報(bào)告的漏洞披露政策，禁止通用默認(rèn)密碼，以及要求銷售點(diǎn)披露設(shè)備接收安全更新的最短時(shí)間。

• 歐盟網(wǎng)絡(luò)安全法案在整個(gè)歐盟范圍內(nèi)建立了網(wǎng)絡(luò)安全認(rèn)證框架，為各種 ICT 產(chǎn)品和服務(wù)創(chuàng)建了計(jì)劃。每個(gè)方案都指定了相關(guān)的服務(wù)和產(chǎn)品類別、網(wǎng)絡(luò)安全要求(包括技術(shù)規(guī)范和標(biāo)準(zhǔn))、預(yù)期的保證水平和評(píng)估類型。

全球范圍內(nèi)的規(guī)則和法規(guī)都在收緊，但如果您的物聯(lián)網(wǎng)產(chǎn)品團(tuán)隊(duì)全神貫注，您就可以利用合規(guī)性作為利用消費(fèi)者信任和銷售的機(jī)會(huì)——這是一種獎(jiǎng)勵(lì)而不是負(fù)擔(dān)。

換句話說(shuō)，Cyber??-as-a-Feature 將成為更強(qiáng)大的物聯(lián)網(wǎng)品牌差異化因素，應(yīng)該在您的營(yíng)銷手冊(cè)中占據(jù)一席之地。

關(guān)鍵要點(diǎn)

我們希望這次新的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的實(shí)施能讓人大開眼界。

以下是一些需要考慮的關(guān)鍵要點(diǎn)：

• 新的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)將成為適用于所有連接設(shè)備的新標(biāo)準(zhǔn)。最初由聯(lián)邦政府制定，以確保政府采購(gòu)獲得最高級(jí)別的網(wǎng)絡(luò)保護(hù)，作為全國(guó)最大消費(fèi)者的政府的權(quán)力和影響力將認(rèn)為這是所有物聯(lián)網(wǎng)或連接設(shè)備的新事實(shí)上的標(biāo)準(zhǔn)。

• 物聯(lián)網(wǎng)產(chǎn)品制造商已經(jīng)超越 SBD，轉(zhuǎn)向主動(dòng)網(wǎng)絡(luò)安全，在整個(gè)設(shè)備生命周期內(nèi)提供全面的安全和隱私，并保護(hù)用戶的隱私，在合規(guī)性方面處于領(lǐng)先地位。

• 世界各國(guó)都在應(yīng)用同樣強(qiáng)大的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)——如果您進(jìn)行國(guó)際貿(mào)易，請(qǐng)注意。

• 當(dāng)您銷售聯(lián)網(wǎng)設(shè)備時(shí)，網(wǎng)絡(luò)即功能 (CaaF) 可用作極具說(shuō)服力的差異化因素，因?yàn)殡S著新的網(wǎng)絡(luò)安全立法在全球范圍內(nèi)推出，客戶意識(shí)也將提高。

新的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)是您將公司定位為重視隱私和安全的領(lǐng)導(dǎo)者的機(jī)會(huì) - 用雙手抓住它，因?yàn)槟臉I(yè)務(wù)將受益無(wú)窮。