物联网(IoT)的迅猛发展产生了令人瞠目结舌的统计数据。

例如,国际数据公司(International Data Corporation)总裁弗农·特纳(Vernon Turner)预测,到2025年,将有800亿台设备连接到互联网——这意味着每分钟将有152200台物联网设备连接。

但强大的力量带来巨大的责任。随着潜在的攻击面呈指数级扩大,从政府到公司再到个人,每个人的风险都会成倍增加。例如,安全情报报告称,Mozi僵尸网络最近导致物联网攻击增加了500%。

为了在这个刚刚起步的行业中对抗和控制这些风险,美国联邦政府推出了物联网网络安全立法,这将对 2021 年及以后的物联网产品团队产生深远的影响。

事实上,它创建了一个每个人都必须满足的事实上的基线网络安全标准。

新的物联网网络安全标准:产品经理需要知道什么

在这篇令人大开眼界的博文中,您会发现:

  • 新的网络安全标准是什么

  • 它如何影响你

  • 你能做些什么

  • 值得注意的国际网络安全标准

假设您参与了任何 IoT 设备的设计、制造和营销。在这种情况下,无论是针对公共部门组织还是针对个人——合规性对于证明您的产品的可行性至关重要。

这篇博文揭示了您现在需要知道的一切。

它是什么?

以下是新的物联网网络安全标准的细分:

  • 2020 年物联网网络安全改进法案要求联邦政府拥有的物联网设备机构提供更强大的网络安全。

  • 尽管其范围似乎有限,但该法案的条款包括指导美国国家标准与技术研究院 (NIST) 制定补充安全标准和指南,以适当使用和管理所有相关的物联网设备——包括建立管理风险的最低网络安全要求。

  • 从表面上看,这项立法只涉及物联网设备承包商在 2022 年 12 月遵守 NIST 指南成为强制性要求时供应或竞标政府合同。但由于美国政府是世界上最大的消费者之一,其最低标准将级联整个行业,并为所有连接的设备创建新的安全和标签事实上的标准。简而言之,所有物联网设备制造商都应注意 NIST 物联网网络标准——即使您只专注于私人消费市场。

    它会影响谁?

    合规性将渗透到专注于工业和家庭物联网产品的产品团队。但是,如果您是一家向联邦政府提供产品和服务的物联网制造商(或正在考虑这样做),那么您现在就需要注意了。

    澄清一下,如果您参与开发以下产品,这可能意味着您:

    • 美国农业部 (USDA) 可能正在使用的智能农业物联网设备,例如无人机、运动探测器、光探测器、智能灌溉系统以及用于作物和牲畜管理的基于云的数据分析工具。

    • 属于环境保护署 (EPA) 职权范围内的水质物联网设备——例如浮标上的传感器,用于监测水质并监测对海洋生物和人类有害的物质的存在。

    • 对运输安全管理局 (TSA) 有用的安全物联网乘客处理、安全和监控产品,例如智能安全摄像头、面部识别设备和自动检查站。

    它如何影响我?

    简而言之,物联网网络安全改进法案 (2020) 和随后的 NIST 标准要求网络安全是物联网产品整个生命周期中的重中之重。

    这些关键组件阐明了您的物联网产品团队可能需要如何适应:

    • 物联网设备的 NIST 标准和指南将涵盖安全开发、修补和配置管理以及身份管理。这将制定一项新的国家标准,以解决(除其他问题外)因无效设置安全设备密码而造成的长期漏洞。

    • NIST 关于物联网设备漏洞披露的指导方针意味着将有严格的指导方针来报告联邦机构拥有或控制的任何物联网设备中的所有网络安全漏洞。报告的内容应包括每个漏洞的披露以及解决方案。该要求适用于承包商和分包商

    • 承包商遵守 NIST 标准和指南意味着到 2022 年 12 月,禁止所有联邦机构采购或续签合同,以获取首席信息官 (CIO) 认为不合规的任何物联网设备。

      这些是物联网法案的主要含义。但是,如果您还没有注意到它,那么现在是时候阅读 NIST 的物联网设备网络安全指南草案,以获得详细的细分。

      我该怎么办?

      如您所见,如果您是宣传新业务的物联网设备产品团队的一员,那么现在是时候让您的网络船井然有序——如果您还没有这样做的话。

      建议尽快转向这个新的黄金标准。对于那些急于将设备投入生产以加速销售的制造商或品牌来说,这可能是棺材上的最后一颗钉子。

      因此,您现在可以采取以下几个明智的举措:

      • 采用主动式网络安全解决方案,在整个生命周期内保护消费者物联网设备。将计算机端点检测和响应 (EDR) 应用于物联网设备,意味着持续监控威胁,实时阻止攻击,定期安全更新的安全远程提供保护每个产品免受最新威胁。因此,购买者可以放心,那些日常家庭或工作生活中不可或缺的便携式设备是安全、可靠和私密的。

      • 提供具有 24/7 安全监控的网络安全系统——近年来,太多基于云的智能设备遭受了备受瞩目的黑客攻击,但通过在设备级别应用 24/7 安全监控可以缓解这种情况。

      • 清楚地将您的设备标记为符合新标准——由于政府采购负责人将遵守新的、严格的合规性标准,因此通过明确说明您的产品严格遵守的情况,使他们的这部分工作变得更容易。符合新网络保护标准的透明产品标签将赢得客户的信任。如果您的物联网产品已经满足上述所有网络安全要求,那就太棒了。

        国际规则和标准

        不要忘记,如果您在各个国际司法管辖区进行交易,许多外国政府和跨国立法者也在加强他们的物联网设备网络安全标准:

        • 新的英国网络安全法将要求所有消费者联网产品必须符合三项新的安全要求;允许安全问题报告的漏洞披露政策,禁止通用默认密码,以及要求销售点披露设备接收安全更新的最短时间。

        • 欧盟网络安全法案在整个欧盟范围内建立了网络安全认证框架,为各种 ICT 产品和服务创建了计划。每个方案都指定了相关的服务和产品类别、网络安全要求(包括技术规范和标准)、预期的保证水平和评估类型。

        全球范围内的规则和法规都在收紧,但如果您的物联网产品团队全神贯注,您就可以利用合规性作为利用消费者信任和销售的机会——这是一种奖励而不是负担。

        换句话说,Cyber??-as-a-Feature 将成为更强大的物联网品牌差异化因素,应该在您的营销手册中占据一席之地。

        关键要点

        我们希望这次新的物联网网络安全标准的实施能让人大开眼界。

        以下是一些需要考虑的关键要点:

        • 新的物联网网络安全标准将成为适用于所有连接设备的新标准。最初由联邦政府制定,以确保政府采购获得最高级别的网络保护,作为全国最大消费者的政府的权力和影响力将认为这是所有物联网或连接设备的新事实上的标准。

        • 物联网产品制造商已经超越 SBD,转向主动网络安全,在整个设备生命周期内提供全面的安全和隐私,并保护用户的隐私,在合规性方面处于领先地位。

        • 世界各国都在应用同样强大的物联网网络安全标准——如果您进行国际贸易,请注意。

        • 当您销售联网设备时,网络即功能 (CaaF) 可用作极具说服力的差异化因素,因为随着新的网络安全立法在全球范围内推出,客户意识也将提高。

          新的网络安全标准是您将公司定位为重视隐私和安全的领导者的机会 - 用双手抓住它,因为您的业务将受益无穷。