原文 : A New Cybersecurity Standard for IoT (本文由 ZARIOT 授權翻譯 )
隨著我們開始將更多智慧型裝置帶入我們的生活,網路安全成為越來越令人擔憂的問題。 例如,卡巴斯基蜜罐( Kaspersky honeypots )顯示,光是 2019 年上半年,針對消費者物聯網裝置的攻擊就超過 15 億次。 為了最大限度地降低這些網路安全風險,ETSI(European Telecommunications Standards Institute,歐洲電信標準協會)小組於 2021 年創建了一項標準 – ETSI EN 303 645。
但 ETSI EN 303 645 是什麼?它有什麼作用? 本文回答這個問題且給予更多資訊。
ETSI EN 303 645 標準
簡而言之,此標準為互聯消費性物聯網( IoT )設備的安全性提供了全球基準,以加強其前身 TS 103 645。
來自學術界、工業界和政府的眾多專家參與其中,制定了13 項旨在防止大規模網路攻擊的強有力條款,例如 2016 年惡名昭著的 Mirai 殭屍網路攻擊,該攻擊感染了數十萬台設備。
13 條規定
- 沒有通用的預設密碼。
- 實施管理漏洞報告的方法。
- 保持軟體更新。
- 安全地儲存敏感的安全參數。
- 安全地溝通。
- 最大限度地減少暴露的攻擊面。
- 確保軟體完整性。
- 確保個人資料的保護。
- 使系統能夠抵抗中斷。
- 檢查系統遙測數據。
- 讓消費者輕鬆刪除個人資料。
- 使設備的安裝和維護變得簡單。
- 驗證輸入資料。
此外,有些條款符合 GDPR 等資料隱私法案。例如,製造商必須向消費者提供有關收集哪些數據、如何使用數據以及如何刪除數據的明確資訊。
ETSI EN 303 645 是否適用於所有物聯網設備?
「消費者」一詞是這個標準的核心。 它延伸到如今任何人都可以在家中擁有互聯或「智慧」。 例如,智慧電視、揚聲器、警報系統、門鎖、煙霧偵測器和嬰兒監視器等。
此標準也適用於連接的閘道、集線器和基地台。 畢竟,現在一個家庭包含多達 16 個連網設備,每個設備都有一個家庭網路的入口點。 因此,ETSI EN 303 645 的覆蓋範圍擴展到各種設備的集中接入點。
為什麼需要這個標準?
物聯網製造商通常不會建立自己的作業系統 (OS),因為它既昂貴又耗時。 與一般智慧電視製造商相比,微軟等全球科技公司將為其數百萬用戶提供作業系統更新。
此外,物聯網設備的銷售商或製造商通常不是設備硬體或軟體的端到端建構者,這意味著設備的內部工作原理通常是模糊的。
對於任何人來說,要獲取此資訊,他們的選擇是採用水晶盒或黑盒處理方式。
水晶盒方式:製造商主動提供原始碼與設計,和文件。 這種情況很少見,但可以透過原始碼審核來確定如何設定和維護信任邊界。
黑盒處理方式:更常見的方法,必須對韌體進行逆向工程,才能充分了解設備內部發生的情況。
ETSI EN 303 545 的涵義
從本質上講,製造商必須透過第三方測試實驗室進行的評估,證明其消費性物聯網設備符合 ETSI EN 303 645。
一般來說,評估過程包括:
- 製造商填寫兩個為設備評估提供資訊的關鍵文件,首先是實施一致性聲明 (ICS)。 這表示 IoT 設備滿足或不符合 ETSI EN 303 645 中的哪些要求。
- 第二個是為測試實作的額外資訊( Implementation eXtra Information for Testing,IXIT ),它提供測試的設計細節。
- 測試實驗室將根據提供的兩份文件報告對產品進行評估和測試,以顯示產品是否符合 ETSI EN 303 645 標準。
基線安全標準
雖然並不全面,但 ETSI EN 303 645 為物聯網利害關係人設定了可實現的基準安全標準。 該標準也增強了消費者對日常「智慧」產品安全性的信心。 隨附的合規標籤還將幫助消費者輕鬆識別他們可以放心購買的產品。
如果您是物聯網設備銷售商、OEM、進口商或出口商,請立即採取積極主動的網路安全方法,以確保客戶的安全和隱私。
也許你會有興趣
- IoT 相關線上課程
- 資安相關線上課程
- ★英語學習地圖 – 練好英文是最大的學習槓桿
- 如何找工作學習地圖 – 找工作不要靠運氣!
- 從 Soft & Share 各種社團頻道挑選你喜歡的加入
發表迴響