歐洲電信標準協會( ETSI )最近發布了技術規范103 645，旨在幫助保護消費者免受物聯網設備的侵害。該規范由ETSI協會網絡安全技術委員會制定。

ETSI在全球擁有近900名會員，包括ABB、佳能、愛立信、三菱、LG電子、Orange、施耐德電氣、奧迪、德意志銀行、德國漢莎航空系統、松下、博世、三星電子、西門子等公司和許多其他世界級公司。我們可以期待這些組織能夠引領我們走向一個更加安全的互聯世界。

加強物聯網安全控制

在物聯網安全行業工作的每個人都知道，現在的情況就像是一個蠻荒的西部，在沒有任何硬性法規的情況下，為了節省時間和成本，該行業違反了低安全標準。

就像在汽車上強制使用安全帶和在社交媒體上使用GDPR（歐盟通用數據保護條例）保護隱私一樣，連網設備面臨更嚴格的安全法規只是時間問題。

有一些舉措可以幫助行業提高物聯網的安全性，如美國物聯網網絡安全法、網絡盾牌法案、智能物聯網法、美國國家標準局管理物聯網網絡安全和隱私風險法案、歐盟網絡安全法，另外不要忘記最近的SB-327法案，在該法案中，加州將從2020年1月1日起強制實施物聯網設備的基本安全。有充分理由相信這些代表了未來的要求。

讓我們深入了解ETSI協會的新規范：TS 103 645，以了解未來的發展方向。

立法者對物聯網產品的期望是什么

TS 103 645附帶了一套相當技術性的要求，這些要求強調了保護連網設備并非小事。安全性必須貫穿產品的整個生命周期，那些拼湊而成的安全性必將失敗。新規范提出了13項要求：

1、沒有通用默認密碼

2、實施管理漏洞報告的方法

3、保持軟件更新

4、安全存儲憑據和敏感數據

5、安全溝通

6、最大限度地減少暴露的攻擊面

7、確保軟件完整性

8、確保個人數據受到保護

9、系統應該具有彈性，使停機快速恢復

10、檢查系統遙測數據

11、方便消費者刪除個人數據

12、簡化設備的安裝和維護

13、驗證輸入數據

保持軟件更新

規范中的第三個要求得到的關注最多，并且也被認為是最重要的安全措施之一。

“保持軟件更新”要求包括以下條款：

▲消費者物聯網設備中的所有軟件組件都應該可以安全更新

▲當需要更新時，應該通知消費者

▲應及時更新——這取決于嚴重程度

▲所有產品應有明確的標簽，標明使用壽命結束日期

▲應該讓消費者知道更新的需求，并且易于實現

▲基本功能應該在更新期間保持運行

▲安全補丁必須通過安全通道提供

▲對于不能更新軟件的受限設備，產品應該是可隔離的，并且硬件可更換

▲對于不能更新軟件的受限設備，必須有使用期限和報廢的明確標識

贏家對安全非常認真

正如麥肯錫對300家企業研究結果所指出的那樣，贏家在產品設計階段和生命周期中都將安全性考慮在內。隨著監管機構越來越意識到保護全球連網設備的重要性，每個供應商何時必須遵守基本安全措施想必也只是時間問題。好消息是，安全性對企業非常有好處。