Briefings

IoT的安全規範與法律在各國不斷成形

最後更新於: October 21, 2023

近年,IoT攻擊事件不斷的增加,頻率不斷上升,也讓各國政府以及歐盟等都提出相關規範去抗衡這一趨勢,而市場上的標準與建議也都不斷地出現,譬如由歐洲電信標準化協會與相關機構2020年合作開發的ETSI EN 303 645、以及ISO組織推出的ISO/IEC 27400。而美國也於2020年底推出的物聯網安全提升法案、芬蘭的消費者安全法案、以及英國與澳洲參照ETSI EN 303 645而提出的物聯網產品設計建議與相關法案等。

Trend

浮出水面的IoT規範有哪些?

同GDPR一般,歐盟最新提出的Cyber Resilience法案是在物聯網上最為嚴格的規範,雖然尚在推行當中,預計將會在2024年正式立案。而在各國政府中,撇開既存的個資與隱私安全法案之外,物聯網的管制也逐漸寫入法律:

IoT網路安全規範
  • 美國:美國雖然在2020年由川普總統簽署了物聯網網路安全法,但其尚未在聯邦層面上有正式且通用的規範。不過越來越多的IoT法規也正在浮出水面,譬如近期由Steve Scalise所提出EAVESDROP(H.R. 8543),即是針對有在收音的連接性裝置需要充分的告知消費者這一行為,同時應該提供消費者簡單關閉相關功能的能力。而相關的法案還有已經由國會通過的Informing Consumers about Smart Devices Act (H.R. 4081)。再者,NIST也提出了其針對IoT產品(適用於家庭與個人)的最佳實務(NIST IR 8425),雖然這並非具約束力的規範或法律,但仍然很有可能會是未來聯邦通用規範的參考指標。
  • 歐盟:於2022年的9月,歐盟推出了所謂的資安韌性法案(Cyber Resilience Act)草案,涵蓋所有有使用IoT的裝置、應用程式、以及智慧家電等等的供應商,都必須要評估其產品的安全性,若違反規範,其會面臨高達1500萬歐元的罰金(或是2.5%的去年全球營收),甚至會被迫推出歐洲市場。 草案中也名列,其業者必須評估網安風險,並在產品預期壽命內(或五年)採去適當措施解決,而一旦發現有疑慮(抑或是出現攻擊事件),因於24小時內通知歐盟網路安全局單位。
  • 澳洲:澳洲在2020年時,即針對了IoT安全規範,邀請了上百家業者前來提供建議,其中像是美國商會、AWS、臉書、Cisco、以及澳洲零售協會等,皆聚焦在各個產業通常會有的相關議題表達許多意見。澳洲政府希望在近期,建立在既有的IoT行為準則說明書上,進一步推進成為法案。 像是澳洲零售協會即建議聯邦政府參照ETSI EN 303 645的十大規範,不過在規則上提供彈性;而Cisco則建議在產品標籤上可以參考美國NIST所出的SP1800-15之上。

Table of Contents
參考資料
作者:OOSGA

我們的經濟小組聚焦在各國的人口結構變化、私人消費、零售狀況、地緣經濟、以及相應的國家貨幣與財政政策進行追蹤與分析;FR小組聚焦在各國與國際組織的貿易協定、貿易規範、地緣政治發展、外交關係、進出口、關稅、海關、以及投資發展。

Connect With Authors
*Your message will be sent straight to the team/individual responsible for the article.