20
我們自己造成的安全問題
個由來自政府、產業和學術界的 成員組成的聯邦諮詢委員會，以 設定網路安全物聯網基準。
這些攻擊者。 4.強制的違規預備措施:公
大多數消費者錯誤地認為購 買的物聯網產品中已經預設安全 防護，但事實上並非如此。雖然產 業聯盟和政府機構已經發佈了各 種建立最低安全等級的指南和網 路安全標準，但嚴峻的現實是，許 多物聯網裝置製造商和供應商尚 未採用或者實施其中任何一項。 這就是為什麽我們經常聽到相關 驚悚事件的原因，像智慧家電、醫 療設備和嬰兒監視器被駭客入侵、 人們的隱私受到侵犯、數據被盜用 等等。物聯網產業未能在大規模安 全方面進行自我監管，實質上迫使 政府監管機構介入以保護最終用 戶。據研究人員估計，40.8%的智 慧家庭中至少有一個設備容易受 到攻擊，這是一個需要迫切關注 的嚴重情況。
在2020年，美國通過了 《2020年物聯網網路安全改 進法案》(Internet of Things Cybersecurity Improvement Act of 2020)，這是美國第一條直 接解決物聯網安全問題的聯邦法 律。該法案要求聯邦機構採購至 少需符合最低網路安全標準的裝 置，並建立漏洞報告和通知程序。 參議員Ed Markey (D-Mass.)和 衆議員Ted Lieu (D-Calif.)今年 也再次提交網路保護法案(Cyber Shield Act)，該法案旨在建構一 個自願制度來認證物聯網裝置的 網路安全保護。該法案將創建一
www.eettaiwan.com | 2022年5月 
對於產業外的人士來說，技 術立法絕非易事，但隨著未來幾 個月新技術法規的發展，產業和 消費者都有必要為未來立法去了 解物聯網安全中最重要的考慮因 素:
司必須證明他們具備有效的手段 來應對網路安全事件。他們必須 擁有操作安全事件反應流程，以 便處理影響其運作的安全事件; 必須擁有產品安全事件反應流程， 以便幫助客戶處理影響所購買產 品和服務的安全事件。
正在進行中的立法
2.製造商作業安全:技術製 造商需要在自己的作業中採用一 套安全實踐方法，以確保他們製 造的產品實際上是安全的。例如， 如果製造商不斷遇到內部安全漏 洞，而且這是由於其疏忽或不在 意網路安全，或缺乏安全管理流 程，那麽可以合理地說明其產品 安全也可能不符合安全標準。
6.供應鏈安全完整性:公司 必須證明他們能夠有效管理影 響其整個供應鏈的風險和網路 安全。隨著時間的推移，以及威 脅的增長及變化，必須執行定期 責任制檢查以監控安全標準的合 規性。
1.購買隨附的安全性:可以 說，物聯網安全需要改變的最重 要的事情之一是政府需要強制物 聯網產品製造商製造預設安全保 護的產品。新的物聯網產品應該 在啟用安全功能的情況下開箱即 用。這也意味著，一旦消費者將新 的物聯網裝置添加到他們的網路 中，該裝置就可以安全使用了，不 再需要任何進一步的安全配置。
5.生命週期內安全升級:開 發長生命週期產品的公司必須證 明，在產品的預期生命週期內， 他們有能力安全地更新和升級產 品的安全性，以便及時應對新出 現的威脅。
3.必要的威脅建模研究:物 聯網裝置製造商還需要了解產品 如何開發、生產和客戶如何使用 產品相關的威脅和風險，這需要 研究了解產品將如何使用，比如 它將處理什麽樣的資訊，最重要 的是，誰可能想要破壞資訊。一 旦公司了解了誰是最有可能的駭 客，就可以透過產品設計來阻止
制定常識性的物聯網安全立 法不是一項簡單的任務，但它是 可以實現的，並且必須完成。拜 登的行政命令令人鼓舞，並確認 了採用業內許多公司已經採取的 網路安全方法來保護物聯網。這 不是美國第一次處理有關家電安 全產品政策的複雜立法，也不會 是最後一次。
筆者樂觀地認為，如果產業 共同分享最佳實踐資訊，安全技 術專業人士可以幫助立法者起草 法規，確保消費者數據安全，同 時使物聯網技術在我們的日常生 活中繼續蓬勃發展。
INDUSTRY TRENDS