浮出水面的IoT規範有哪些?
同GDPR一般,歐盟最新提出的Cyber Resilience法案是在物聯網上最為嚴格的規範,雖然尚在推行當中,預計將會在2024年正式立案。而在各國政府中,撇開既存的個資與隱私安全法案之外,物聯網的管制也逐漸寫入法律:
- 美國:美國雖然在2020年由川普總統簽署了物聯網網路安全法,但其尚未在聯邦層面上有正式且通用的規範。不過越來越多的IoT法規也正在浮出水面,譬如近期由Steve Scalise所提出EAVESDROP(H.R. 8543),即是針對有在收音的連接性裝置需要充分的告知消費者這一行為,同時應該提供消費者簡單關閉相關功能的能力。而相關的法案還有已經由國會通過的Informing Consumers about Smart Devices Act (H.R. 4081)。再者,NIST也提出了其針對IoT產品(適用於家庭與個人)的最佳實務(NIST IR 8425),雖然這並非具約束力的規範或法律,但仍然很有可能會是未來聯邦通用規範的參考指標。
- 歐盟:於2022年的9月,歐盟推出了所謂的資安韌性法案(Cyber Resilience Act)草案,涵蓋所有有使用IoT的裝置、應用程式、以及智慧家電等等的供應商,都必須要評估其產品的安全性,若違反規範,其會面臨高達1500萬歐元的罰金(或是2.5%的去年全球營收),甚至會被迫推出歐洲市場。 草案中也名列,其業者必須評估網安風險,並在產品預期壽命內(或五年)採去適當措施解決,而一旦發現有疑慮(抑或是出現攻擊事件),因於24小時內通知歐盟網路安全局單位。
- 澳洲:澳洲在2020年時,即針對了IoT安全規範,邀請了上百家業者前來提供建議,其中像是美國商會、AWS、臉書、Cisco、以及澳洲零售協會等,皆聚焦在各個產業通常會有的相關議題表達許多意見。澳洲政府希望在近期,建立在既有的IoT行為準則說明書上,進一步推進成為法案。 像是澳洲零售協會即建議聯邦政府參照ETSI EN 303 645的十大規範,不過在規則上提供彈性;而Cisco則建議在產品標籤上可以參考美國NIST所出的SP1800-15之上。
