Matter 背后的组织正在推出一个新的产品标签,可以让您更轻松地确定您的智能家居小工具是否安全。
与视频门铃和智能灯等联网设备一样有用,在家里使用联网技术时,明智的做法是谨慎行事,尤其是在阅读了多年有关安全摄像头黑客攻击、冰箱僵尸网络攻击和智能炉灶自行打开的信息之后。但到目前为止,还没有一种简单的方法来评估产品的安全性。智能家居标准 Matter背后的组织——连接标准联盟 (CSA)的一项新计划希望解决这个问题。
CSA本周宣布的物联网设备安全规范是一项基线网络安全标准和认证计划,旨在为消费者物联网设备提供单一的、全球认可的安全认证。
遵守该规范并通过认证流程的设备制造商可以带有 CSA 的新产品安全验证 (PSV) 标志。如果您购买的安全摄像头或智能灯泡带有该标记,您就会知道它满足了帮助保护其免受恶意黑客攻击和其他可能影响您隐私的入侵的要求。
“获得全球消费者物联网安全认证是向前迈出的一大步。这比没有要好得多。”Steve Hanna,英飞凌
谷歌移动安全战略总监尤金·利德曼 (Eugene Liderman) 表示:“研究不断表明,消费者将安全视为重要的设备购买驱动因素,但他们不知道从安全角度考虑什么才能做出明智的购买决定。”边缘。“这样的计划将为消费者提供一个简单、易于识别的指标来寻找。”
Liderman 是 CSA 工作组的成员,该工作组定义了该程序的 1.0 规范,该程序 由 200 多家 CSA 成员公司开发。其中包括(与谷歌一起)亚马逊、康卡斯特、Signify (Philips Hue) 以及 Arm、英飞凌和恩智浦等多家芯片制造商。
CSA 首席执行官托宾·理查森 (Tobin Richardson) 表示,带有 PSV 标志的产品最早可能会在这个假日购物季开始出现。
CSA新产品安全验证标志。图片:CSA
一种网络安全标志可以统治一切
CSA在 3 月 18 日宣布这一消息之前,上周有消息称FCC 已批准在美国实施针对消费者物联网设备的新网络安全标签计划。这两个计划都是自愿的,CSA 的标签不与美国网络信任标志竞争。相反,它更进一步,采用了美国的所有要求,并添加了新加坡和欧洲类似计划的网络安全基线。最终结果是一个可以在多个国家/地区运行的单一规范和认证计划(参见侧边栏)。
CSA 的物联网网络安全标准要求
以下 IoT 设备网络安全标准和法规是 CSA 产品安全验证标志规范和认证计划标准的核心要求:
- 美国 NIST 要求– NIST 8259、MIST IR 8425、NIST SP 800-213 和各种法律
- 欧盟 ETSI 要求– 例如 IEC 62443 和 ETSI EN 303 645
- 新加坡网络安全局物联网标签计划
CSA 的托宾·理查森 (Tobin Richardson) 表示,这是一套全面的要求,应该涵盖大多数(如果不是全部)其他政府要求。然而,随着更多国家参与,该规范可以根据任何附加要求进行更新。
Richardson 表示,我们的目标是让 CSA 的 PSV 标志得到各国政府的认可,这样制造商只需通过一次认证流程即可在所有主要市场进行销售。这可以降低制造商的成本和复杂性,并可能为消费者带来更多选择。
PSV 标志已获得新加坡网络安全局的认可,CSA 表示正在努力与美国、欧盟和英国的类似计划实现相互认可。“这很有可能,而且对于某些[国家]来说,这是肯定的,”理查森说。“这主要是处理一些文书工作的问题。”
要获得 PSV 标志,设备必须符合物联网设备安全规范 1.0并通过认证计划,其中包括回答调查问卷并向授权测试实验室提供随附证据。要求的要点包括:
- 每个物联网设备的唯一身份
- 没有硬编码的默认密码
- 设备上敏感数据的安全存储
- 安全相关信息的安全通信
- 在整个支持期内确保软件更新的安全
- 安全开发流程,包括漏洞管理
- 有关安全的公共文档,包括支持期
(来源:CSA)
据 CSA 称,该自愿计划适用于大多数联网智能家居设备,包括灯泡、开关、恒温器和安全摄像头,并且可以追溯应用于市场上的产品。CSA 在其新闻稿中表示,除了 PSV 标志之外,“标志上打印的 URL、超链接或 QR 码可以让消费者获得有关设备安全功能的更多信息” 。
该计划特别关注设备安全——确保物理设备本身无法被访问——而不是隐私。“但两者之间存在密切的联系,没有安全就不可能拥有隐私,”理查森说。虽然安全性会影响隐私,但该计划并未对制造商如何使用设备收集的数据提出很多要求。CSA 有一个单独的数据隐私工作组来处理这些蠕虫病毒。
更好的安全性,但仍不完美
该程序当前的迭代并不是解决物联网设备安全问题的灵丹妙药。英飞凌科技公司 (Infineon Technologies) 的史蒂夫·汉纳 (Steve Hanna) 是一名拥有 25 年网络安全研究经验的研究员,也是该计划 CSA 工作组的主席,他告诉The Verge,他还希望看到更多的内容被纳入其中。“但我们必须爬、走,然后跑,”他说。“获得全球消费者物联网安全认证是向前迈出的一大步。这比没有要好得多。”
谷歌的利德曼还指出,满足最低安全标准并不能保证设备没有漏洞。“我们坚信,随着时间的推移,该行业需要提高标准,特别是对于敏感产品类别,”他说。
CSA 计划不断更新规范,要求公司至少每三年重新认证一次。此外,理查森表示,还需要制定事件响应流程,因此,如果一家公司遇到安全问题(例如Wyze 最近的问题),则必须先解决这些问题,然后才能重新获得认证。
API 可以让智能家居平台应用程序在设备加入您的网络之前提醒您设备的安全状态
汉纳表示,为了解决对滥用标签的担忧,CSA 将在其网站上建立所有认证产品的数据库,以便您可以交叉检查公司的声明。他还表示,计划在 API 中提供这些信息,这可以让您的智能家居平台应用程序在设备加入您的网络之前提醒您设备的安全状态。
汉纳警告不要将期望设定得太高。“一些公司很高兴能够认可他们已经完成的工作,但我们不应该期望每个产品都具有这一点,”他说。他说,有些人可能会发现他们存在问题,导致他们无法获得认证。“如果或当政府提出这些要求时,那就是橡胶上路的地方。”
自愿计划可能看起来像是大坝上的一根手指,但它确实解决了两个基本问题。对于制造商来说,它可以更轻松地一次性遵守多个国家/地区的法规,而对于消费者来说,它为了解公司遵守哪种类型的安全实践提供了一条途径。
技术分析公司 Omdia的物联网网络安全专家 Hollie Hennessy 表示:“如果没有标签或标记,消费者可能很难基于安全性做出购买决定。” 虽然该计划是自愿的,可能会成为采用的障碍,但轩尼诗表示,她公司的研究表明,人们更有可能购买带有隐私和安全标签的设备。
最终,Hennessy 认为,需要将此类标准和认证以及法规和立法相结合,以解决消费者对联网设备隐私和安全的担忧。但此举是朝着正确方向迈出的一大步。
(本文转载自The Verge,作者Jennifer Pattison Tuohy,经Matter123.cn编译,仅用于物联网知识普及与分享,如有侵权,请原作者联系本站管理员删除。)