November 7, 2022

IoT的安全規範與法律在各國不斷成形

近年,IoT攻擊事件不斷的增加,頻率不斷上升,也讓各國政府以及歐盟等都提出相關規範去抗衡這一趨勢,而市場上的標準與建議也都不斷地出現,譬如由歐洲電信標準化協會與相關機構2020年合作開發的ETSI EN 303 645、以及ISO組織推出的ISO/IEC 27400。而美國也於2020年底推出的物聯網安全提升法案、芬蘭的消費者安全法案、以及英國與澳洲參照ETSI EN 303 645而提出的物聯網產品設計建議與相關法案等。

Trend

浮出水面的IoT規範有哪些?

同GDPR一般,歐盟最新提出的Cyber Resilience法案是在物聯網上最為嚴格的規範,雖然尚在推行當中,預計將會在2024年正式立案。而在各國政府中,撇開既存的個資與隱私安全法案之外,物聯網的管制也逐漸寫入法律:

IoT網路安全規範

  • 美國:美國雖然在2020年由川普總統簽署了物聯網網路安全法,但其尚未在聯邦層面上有正式且通用的規範。不過越來越多的IoT法規也正在浮出水面,譬如近期由Steve Scalise所提出EAVESDROP(H.R. 8543),即是針對有在收音的連接性裝置需要充分的告知消費者這一行為,同時應該提供消費者簡單關閉相關功能的能力。而相關的法案還有已經由國會通過的Informing Consumers about Smart Devices Act (H.R. 4081)。再者,NIST也提出了其針對IoT產品(適用於家庭與個人)的最佳實務(NIST IR 8425),雖然這並非具約束力的規範或法律,但仍然很有可能會是未來聯邦通用規範的參考指標。
  • 歐盟:於2022年的9月,歐盟推出了所謂的資安韌性法案(Cyber Resilience Act)草案,涵蓋所有有使用IoT的裝置、應用程式、以及智慧家電等等的供應商,都必須要評估其產品的安全性,若違反規範,其會面臨高達1500萬歐元的罰金(或是2.5%的去年全球營收),甚至會被迫推出歐洲市場。 草案中也名列,其業者必須評估網安風險,並在產品預期壽命內(或五年)採去適當措施解決,而一旦發現有疑慮(抑或是出現攻擊事件),因於24小時內通知歐盟網路安全局單位。
  • 澳洲:澳洲在2020年時,即針對了IoT安全規範,邀請了上百家業者前來提供建議,其中像是美國商會、AWS、臉書、Cisco、以及澳洲零售協會等,皆聚焦在各個產業通常會有的相關議題表達許多意見。澳洲政府希望在近期,建立在既有的IoT行為準則說明書上,進一步推進成為法案。 像是澳洲零售協會即建議聯邦政府參照ETSI EN 303 645的十大規範,不過在規則上提供彈性;而Cisco則建議在產品標籤上可以參考美國NIST所出的SP1800-15之上。

 

About Briefings

OOSGA在各個領域的分析師、政策研究員、專案小組,以及與我們合作的產業專家,通過簡報即時提供會員客戶實時的資訊與分析,支撐跨境運營的決策者落實相應的策略部署與調整。

OOSGA Analytics

我們的團隊統合研究、調查以及實務經驗,透過每一次的Insight,分享給大中華企業的決策者相關議題上的思考框架與資訊。

More From Us
各國產業發展追蹤
我們針對60+個國家農業、能源業、製造業、基礎建設業、零售業、以及健康醫療產業的最新動向落實追蹤與分析。
URLLC與eMBB將逐漸成熟,並支撐無數物聯網IoT應用
IoT的安全規範與法律在各國不斷成形
IoT的連接將逐漸地向邊緣(Edge)發展
Related Glossary Terms
生成式AI
LPWAN
LoRa
知識圖譜
開放API
屬性存取控制
角色存取控制
強制存取控制
Connect With Authors
*Your message will be sent straight to the team/individual responsible for the article.

歡迎訂閱

歡迎訂閱我們在不同市場的機會見解,可以先參考我們近期發送的信件,也希望您可以積極地分享回饋給我們團隊!