欧盟强制制造商提高无线设备和物联网的安全性

来源：博观科技日期：2021-11-05 10:46:33

　　欧盟准备对制造商提出更多要求，以在其无线和物联网 (IoT) 设备中设计更高的安全性。在欧盟 2014 年无线电设备指令 (RED)的修正案中，欧盟委员会指出，随着从手机到健身追踪器再到智能手表的无线设备越来越多地融入日常消费者和商业生活，它们也成为更大的安全风险.

　　该修正案的目标——称为“授权法案”——是为了确保所有无线设备在欧盟销售之前都是安全的。制造商在设计和生产这些产品时需要遵守新的网络安全保护措施。此外，据欧盟官员称，该修正案还将确保个人数据的更大隐私，防止金融欺诈，并提高欧洲通信网络的弹性。

　　“网络威胁发展迅速，”内部市场专员蒂埃里·布雷顿 (Thierry Breton) 在一份声明中表示。“它们越来越复杂，适应性也越来越强。根据我们今天推出的要求，我们将极大地提高各种产品的安全性，并增强我们对网络威胁的抵御能力，符合我们在欧洲的数字化雄心。”

　　美国在联邦层面在物联网安全方面取得了一些进展；欧盟的倡议是否会促使美国采取更大的行动或导致设备安全性的普遍改善还有待观察。

　　欧盟通用安全标准

　　布雷顿说，这也是欧盟为进入欧洲市场的产品和服务制定一套全面的通用网络安全标准的更大努力的一部分。

　　也就是说，市场需要一段时间才能看到 10 月底宣布的修正案的结果。它将需要欧洲理事会和欧洲议会的批准，然后进行为期两个月的审查和审查。一旦到位，制造商将有 30 个月的时间开始满足新的法律要求，直到 2024 年年中才能使设备合规。

　　该修正案解决了在无线设备的使用和物联网市场继续急剧增长的情况下对安全性的持续关注。根据市场研究公司 IoT Analytics 的数据，今年全球企业在物联网上的支出预计将达到1598 亿美元，同比增长 24%，其中包括数百亿个智能连接设备，从小型传感器到大型工厂系统。年增加。分析师表示，未来几年，它将以每年 26% 以上的速度增长。

　　物联网市场增长

　　此外，IDC 分析师在 7 月份写道，第二季度智能手机出货量比2020 年同期增长 13.2%，出货量为 3.132 亿台。

　　5G 的采用将为移动和物联网设备带来新功能，进一步推动设备增长——并引发新的安全问题（参见5G 的网络安全风险——以及如何控制它们）。

　　被忽视的物联网安全

　　许多安全专家担心设备制造商更关心设备的功能而不是安全性。欧盟官员在一份声明中指出，COVID-19 大流行增加了无线设备的专业和个人用途，欧盟委员会的研究发现“越来越多的无线设备构成网络安全风险。例如，此类研究标明了监视儿童行为或对话的玩具的风险；存储在我们设备中的未加密个人数据，包括与支付相关的数据，可以轻松访问；甚至可能滥用网络资源从而降低其能力的设备。”

　　网络安全供应商 Netenrich 的首席威胁猎手 John Bambenek 对此并不感到意外。“许多物联网设备制造商在 IT 或系统强化方面没有经验，”Bambenek 告诉 eSecurity Planet。“结果是设备存在微不足道的漏洞或缺陷，这些漏洞或缺陷在传统计算中已经解决了十年或更长时间。由于这些设备在物理世界中起作用，这个问题变得更加复杂，因此风险可能更加深远。”

　　仍需设备维护

　　物联网安全供应商 Viakoo 的首席执行官 Bud Broomhead 告诉 eSecurity Planet，虽然欧盟的倡议将确保提高设备的初始安全性，但用户将需要随着时间的推移继续维护系统。

　　“它永远不会一劳永逸，”布鲁姆黑德说。“网络犯罪分子每天都在创造新的漏洞，导致许多物联网设备安装了过时的固件和其他可利用的漏洞。”

　　他指出 FireEye 的一项研究表明，这些漏洞利用已经超过网络钓鱼攻击，成为对组织的最大威胁。Broomhead 说，鉴于此，为设备设计更好的弹性变得越来越重要。

　　制造商应将 EU RED 修正案中的要求视为构建更多网络安全功能的机会而非负担。班贝内克同意了。

　　“安全一直是任何产品或技术的成本，”他说。“几十年前，我们接受了外部化的经济概念——将成本倾销给第三方以实现利润最大化——现在我们需要接受风险外部化。即使制造商处于解决问题的最佳位置，这些设备被黑客入侵也不会造成任何伤害。”

　　欧盟修正案适用于许多设备

　　欧洲的新要求将涉及范围广泛的无线设备，包括手机、平板电脑和其他通过互联网进行通信的产品，例如婴儿监视器和智能手表和健身追踪器等可穿戴设备。这些设备必须包括确保通信网络保护的功能，并确保这些设备不能用于破坏网站或类似服务。

　　此外，设备制造商必须保证嵌入保护个人数据的功能，保护儿童权利将成为立法的关键部分。其他需要具备的功能必须将电子支付带来的欺诈风险降至最低，例如更好的身份验证控制。

　　该修正案与欧盟委员会主席乌尔苏拉·冯德莱恩最近宣布的欧盟网络弹性法案相吻合，该法案将涵盖更多产品。

　　Bambenek 和 Broomhead 都表示应该要求设备固件的快速和自动更新，并且应该消除默认或易于猜测的密码。Bambenek 还表示，不应该允许不安全的远程访问，并且应该对第三方应用程序进行高度控制。对用户数据的访问也应该受到控制和审计。Broomhead 说这些设备应该是零信任模型的一部分，并且应该使用一种部署和管理证书的方法来验证设备身份。

　　他还表示，网络威胁和物联网设备的使用都是全球性问题，需要在全球范围内进行协作和共享最佳实践，以抵御不良行为者。班贝内克补充说，美国最好学习欧洲立法者的做法。

　　“欧盟对隐私的看法一直比美国强，”他说。“我们的许多技术领导者都公开表示不应该有隐私权。在让企业向社会倾销成本方面，美国需要重新吸取 100 年前的经济教训。”