安全標(biāo)準(zhǔn)是消費(fèi)物聯(lián)網(wǎng)的必備條件

隨著越來越多的設(shè)備連接起來，物聯(lián)網(wǎng)（IoT）遭受安全威脅的可能性也在增加。這使得全球各地政府部門和監(jiān)管機(jī)構(gòu)都重視起來，開始采取諸如網(wǎng)絡(luò)安全立法等行動(dòng)來保護(hù)消費(fèi)者，同時(shí)也激勵(lì)制造商優(yōu)先考慮網(wǎng)絡(luò)安全。最近，分析機(jī)構(gòu)Omdia的調(diào)研結(jié)果也證明了市場對物聯(lián)網(wǎng)設(shè)備安全性的剛需：有84%的消費(fèi)者表示，產(chǎn)品安全性是做出購買決定時(shí)的重要考慮因素。

例如，2022年歐盟就發(fā)布了網(wǎng)絡(luò)安全相關(guān)的法案，旨在加強(qiáng)歐洲的網(wǎng)絡(luò)安全立法。歐盟委員會(huì)主席表示：“如果一切事物都是互聯(lián)的，那么一切都可能被黑客攻擊。”也就是說，聯(lián)網(wǎng)設(shè)備越多，我們越容易遭受網(wǎng)絡(luò)攻擊?？紤]到物聯(lián)網(wǎng)基礎(chǔ)設(shè)施建設(shè)的廣泛性，這無疑讓人擔(dān)憂。

新的立法旨在為所有聯(lián)網(wǎng)設(shè)備制定通用的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。對于已出臺的與物聯(lián)網(wǎng)設(shè)備相關(guān)的安全標(biāo)準(zhǔn)來說，新立法將進(jìn)一步提供支持。

每當(dāng)新技術(shù)出現(xiàn)時(shí)，安全和保障立法當(dāng)然也必須跟上，任何推遲都可能使消費(fèi)者面臨更高的風(fēng)險(xiǎn)。例如，英國第一條高速公路于1958年開通，但在發(fā)生了一系列致命車禍后，直到1965年才規(guī)定了限速。

同樣地，對于當(dāng)今的物聯(lián)網(wǎng)市場來說，有必要加強(qiáng)相關(guān)的安全標(biāo)準(zhǔn)。這將降低消費(fèi)者及其財(cái)產(chǎn)因惡意黑客攻擊或網(wǎng)絡(luò)犯罪活動(dòng)而面臨的威脅。

安全問題

大多數(shù)消費(fèi)者認(rèn)為，他們購買的物聯(lián)網(wǎng)產(chǎn)品已經(jīng)內(nèi)置有安全功能，無需對現(xiàn)代家居中越來越常見的功能如語音助手、智能照明或安全攝像頭等進(jìn)行設(shè)置或后續(xù)配置。然而，事實(shí)未必如此。許多人認(rèn)為：既然沒必要擔(dān)心傳統(tǒng)的電視或冰箱的安全性，那么使用新款智能揚(yáng)聲器時(shí)，為什么要采取不同的行動(dòng)呢？

雖然行業(yè)聯(lián)盟和政府機(jī)構(gòu)已經(jīng)發(fā)布了各種指引和網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，對最低安全級別做出了規(guī)定，但并非所有物聯(lián)網(wǎng)設(shè)備制造商和供應(yīng)商都執(zhí)行了這些標(biāo)準(zhǔn)。這就是為什么我們會(huì)聽到智能家電、醫(yī)療設(shè)備和嬰兒監(jiān)控?cái)z像頭被黑客攻擊，人們的隱私被侵犯、數(shù)據(jù)被竊取這樣的事情時(shí)有發(fā)生。

由于物聯(lián)網(wǎng)行業(yè)在安全自律方面行動(dòng)不夠迅速，世界各地政府不得不介入，以確保消費(fèi)者權(quán)益得到充分保護(hù)。據(jù)研究人員估計(jì)，40.8%的智能家居中至少有一個(gè)設(shè)備易受攻擊，而這是2019年的數(shù)據(jù)，毫無疑問，該數(shù)字還在繼續(xù)上升。

立法進(jìn)行時(shí)

除了歐盟發(fā)布的網(wǎng)絡(luò)安全法案外，世界其他地區(qū)也先后頒布過多項(xiàng)保護(hù)網(wǎng)絡(luò)安全的法規(guī)或計(jì)劃，其中不乏針對消費(fèi)物聯(lián)網(wǎng)設(shè)備安全性的內(nèi)容，這可以使消費(fèi)者在購物時(shí)更具信心。此類網(wǎng)絡(luò)安全法案、計(jì)劃的發(fā)布帶來了一個(gè)充滿希望的開端，但要解決所有必要的細(xì)節(jié)問題仍有許多工作要做。

關(guān)于技術(shù)的立法可能是個(gè)復(fù)雜的過程，但關(guān)鍵是行業(yè)和消費(fèi)者都必須意識到物聯(lián)網(wǎng)安全和未來的監(jiān)管措施是息息相關(guān)的：

（1）默認(rèn)安全：對于政府來說最需要進(jìn)行的重要改變之一是要求物聯(lián)網(wǎng)產(chǎn)品在上市時(shí)即保證安全。新的物聯(lián)網(wǎng)產(chǎn)品在開箱時(shí)就應(yīng)具備安全使用功能。這也意味著，一旦消費(fèi)者將新的物聯(lián)網(wǎng)設(shè)備添加到其網(wǎng)絡(luò)中，該設(shè)備應(yīng)無需任何進(jìn)一步配置即可安全使用。先前，英國出臺的一部法案直接針對的就是那些出廠時(shí)帶有通用默認(rèn)密碼的產(chǎn)品。除了對設(shè)備提出這些規(guī)定的安全要求外，如不遵守該法案還將受到處罰。這將對消費(fèi)者產(chǎn)生真正的影響，因?yàn)樵谟?，生產(chǎn)或銷售物聯(lián)網(wǎng)設(shè)備的任何公司如果不符合新標(biāo)準(zhǔn)，都將受到處罰，對于這些公司而言，這將是最基本的底線。

（2）威脅建模：物聯(lián)網(wǎng)設(shè)備制造商需要考慮產(chǎn)品在開發(fā)、生產(chǎn)和使用過程中面臨的威脅和風(fēng)險(xiǎn)。這就需要進(jìn)行研究，以了解消費(fèi)者將如何操作產(chǎn)品、產(chǎn)品將處理什么樣的數(shù)據(jù)，以及最重要的是誰可能會(huì)破壞這些數(shù)據(jù)。一旦企業(yè)了解到誰最有可能是攻擊者，就可以設(shè)計(jì)出能夠阻止攻擊者的產(chǎn)品。

（3）安全事件的應(yīng)對和處理流程：企業(yè)必須證明其能夠有效應(yīng)對網(wǎng)絡(luò)安全事件。他們必須具備可運(yùn)轉(zhuǎn)的安全事件響應(yīng)流程，以解決影響其運(yùn)營的事件。同時(shí)，還應(yīng)具備產(chǎn)品安全事件響應(yīng)流程，以幫助消費(fèi)者解決與產(chǎn)品相關(guān)的安全事件。

（4）終身安全：如果企業(yè)開發(fā)的產(chǎn)品部署周期較長，則必須證明在這些產(chǎn)品的預(yù)期生命周期內(nèi)，它們的安全性能夠可靠地進(jìn)行更新/升級，以應(yīng)對可能出現(xiàn)的任何新威脅。

（5）安全運(yùn)營：技術(shù)制造商必須在自己的運(yùn)營中采取安全措施，以確保其生產(chǎn)的產(chǎn)品是安全可靠的。例如，如果制造商因疏忽或網(wǎng)絡(luò)安全受損或缺乏安全管理流程而不斷出現(xiàn)內(nèi)部安全漏洞，則有理由認(rèn)為其產(chǎn)品自身的安全性可能存在不足。

（6）供應(yīng)鏈合規(guī)性：企業(yè)必須證明其能夠有效管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，因?yàn)榫W(wǎng)絡(luò)安全風(fēng)險(xiǎn)會(huì)影響整個(gè)供應(yīng)鏈。隨著時(shí)間的推移以及威脅不斷地增加和變化，必須進(jìn)行定期問責(zé)檢查，以監(jiān)控安全標(biāo)準(zhǔn)是否合規(guī)。

針對上述網(wǎng)絡(luò)安全方面的要求和措施，物聯(lián)網(wǎng)行業(yè)包括芯片和軟件供應(yīng)商、設(shè)備制造商、系統(tǒng)集成商等在內(nèi)的各類廠商都在不斷提高安全意識，優(yōu)化安全功能，以便在未來的物聯(lián)網(wǎng)應(yīng)用實(shí)現(xiàn)中滿足相關(guān)法案、規(guī)范和標(biāo)準(zhǔn)的規(guī)定。

Secure Vault、定制化元件制造服務(wù)和第三方認(rèn)證全面提升物聯(lián)網(wǎng)安全

對于Silicon Labs（亦稱“芯科科技”）而言，作為一家專注于物聯(lián)網(wǎng)的公司，我們很早就意識到安全性在物聯(lián)網(wǎng)系統(tǒng)中的重要性，并開發(fā)了業(yè)界領(lǐng)先的Secure VaultTM安全技術(shù)，其中包含一整套先進(jìn)的安全功能，可防止本地和遠(yuǎn)程軟件攻擊，本地硬件攻擊，并已通過第三方實(shí)驗(yàn)室的滲透測試。憑借Secure Vault安全組件，芯科科技成為率先獲得PSA/SESIP最高級別3級認(rèn)證的芯片供應(yīng)商。此外，芯科科技的定制化元件制造服務(wù)（CPMS）和預(yù)先認(rèn)證的技術(shù)支持服務(wù)也可以幫助設(shè)備制造商進(jìn)一步確保其物聯(lián)網(wǎng)設(shè)備的安全。

人們能夠意識到物聯(lián)網(wǎng)安全立法至關(guān)重要且并非易事，不過這個(gè)目標(biāo)完全可以實(shí)現(xiàn)，而且毫無疑問這一目標(biāo)必須要實(shí)現(xiàn)。對于業(yè)內(nèi)許多公司已經(jīng)采取的物聯(lián)網(wǎng)安全措施而言，全球多個(gè)地區(qū)發(fā)布的網(wǎng)絡(luò)安全相關(guān)法案和計(jì)劃無疑是一種鼓勵(lì)和認(rèn)可。如果行業(yè)能夠共享最佳實(shí)踐，安全技術(shù)專家就能夠在立法者起草法規(guī)時(shí)提供幫助，在保證消費(fèi)者數(shù)據(jù)安全的同時(shí)，讓物聯(lián)網(wǎng)技術(shù)在我們的日常生活中繼續(xù)蓬勃發(fā)展。