我們最近研究了一些來自家庭中智能或連網設備的安全威脅，以及我們可以采用的解決方案。這些威脅之所以出現，是因為當我們購買這些設備時，它們通常是不安全的。解決方案似乎是顯而易見的——確保設備在到達我們手里之前是安全的。

因此，需要立法。

我們將物聯網設備分為三大類：商業物聯網（物聯網，作為商業IT的一部分使用）、工業物聯網（IIOT，作為工業運營的一部分使用）、消費類物聯網（我們在家里使用的智能設備）。

好消息是，世界上許多標準組織都在致力于制定物聯網標準。壞消息是，只有兩個立法機構在認真試圖保護消費者的物聯網安全，他們是加利福尼亞州和英國。

時任加州州長杰里·布朗于2018年9月簽署了一項網絡安全法案，即連網設備安全法案（嚴格來說，是SB327），它將于2020年1月生效。但是，盡管該法案對密碼的要求受到了贊揚，但該法案的其他部分被認為是薄弱的。

法案要求每個生產的設備都有唯一的密碼，并且要求用戶在首次獲得設備訪問權限之前生成新的身份驗證方法。此外，對“合理”和“適當”安全特性的要求被認為實際上毫無意義，因為制造商可能不知道這兩個詞的真正含義。

計劃中的英國立法

這只是計劃中的英國立法。如果可行，它將提高英國及其他地區智能設備的安全性。此外，如果可行的話，它還可以為其他國家的類似立法提供一個藍圖，就像歐盟的一般數據保護條例（GDPR）正在為新的隱私立法提供全球藍圖一樣。

在本文中，我們將研究擬議中的立法，并考慮其是否有效。

立法

英國有傳統的商業立法方法。它首先要求自愿遵守可接受的行為準則，通常會明確警告說，如果不自愿采取行動，立法將使其成為強制性的。

2018年10月，數字、文化、媒體和體育部（DCMS）發布了《消費類物聯網設備行為安全準則》。它包括13條獨立的建議，以確保智能設備的安全性，從沒有默認密碼到漏洞披露策略，以及方便消費者刪除個人數據等。

這些建議的目的是針對結果的，而不是規定性的——它們描述了應該實現什么，但沒有描述應該如何實現。但是，它們比加利福尼亞州立法的要求更為明確。

制造商在很大程度上忽視了英國的自愿行為準則。在商業上，如果不需要，他們就不會做。今年5月，英國政府開始從自愿向強制過渡。DCMS就政府關于消費者物聯網安全的監管建議發布了一份咨詢意見。

政府仍在緩慢推進，但毫無疑問要規范向家庭銷售智能設備的意圖。提議遵守行為守則，從前3項開始，分階段引入所有13項要求。這些是：

1、所有物聯網設備都應該有唯一的密碼，并且不能重置為任何通用出廠默認值。

2、制造商應提供公共聯絡方式，作為漏洞披露政策的一部分，以便安全研究人員和其他人能夠報告問題。

3、制造商將明確說明產品接收安全更新的最短時間。

磋商，不是是否應該執行這項法律，而是應該如何執行。

在這里，英國面臨著所有提議監管技術的相同問題——如何在不妨礙產品創新和商業運營效率的情況下做到這一點？

英國政府說：“我們意識到抑制創新并對各種類型制造商帶來沉重負擔的風險，這就是為什么我們一直致力于根據《行為準則》的前3大準則，來定義基本安全的原因所在”。（來自物聯之家網）事實上，監管與創新是一種不可調和的矛盾。

但還有一個問題需要解決：如何對海外制造商實施國家監管？最直接的答案是，不能這樣做。因此，政府正在對英國經銷商實施監管而不是對外國制造商。

實施

目前爭議的焦點是應采用三種實施方案中的哪一種。它們都是從制造商的產品安全標簽開始，因為立法禁止在英國銷售沒有制造商安全標簽的產品。

三種實施方案是：

選項一：強制經銷商只銷售帶有物聯網安全標簽的消費類物聯網產品，制造商可以自行聲明并在其消費類物聯網產品上張貼安全標簽。

選項二：要求經銷商僅銷售符合前3項要求的消費類物聯網產品，制造商有責任自行聲明其消費類物聯網產品符合《消費類物聯網設備行為安全準則》前3項要求和ETSI TS 103 645標準。

選項三：要求經銷商僅銷售帶有標簽的消費類物聯網產品，該標簽需證明符合《消費類物聯網設備行為安全準則》的所有13項要求，制造商應自行申報，并確保標簽出現在包裝上。

這就是問題所在，所有這三個選項都要求制造商自行聲明安全性。換句話說，政府正在推行強制性的自愿立法。在其擬議的格式中，這項立法依靠市場力量來執行。它不能強迫外國制造商制造安全設備，但它可以懲罰出售這些設備的英國經銷商。它讓經銷商有義務迫使制造商遵守法規。

如果我們從立法歷史中學到了什么，那就是制造商和經銷商都將遵循阻力最小的要求。

政府的下一步行動將決定這項立法的目的是成功還是失敗。例如，DMCS聲明，“我們打算在議會時間允許的情況下制定主要立法，讓DCMS事務大臣能夠為強制性標簽計劃設定要求和/或為在英國銷售的設備設定安全要求，這些要求將在二級立法中確立”。

英國的二級立法不需要議會投票——只需要相關官員的同意即可。DCMS還指出，政府的意圖是強制執行《消費類物聯網設備行為安全準則》的所有13項內容。（來源物聯之家網）一旦這3項初步要求成為法律，從理論上講，政府有可能在接下來的10個月內，每月要求一項（剩余的10項準則）成為法律，或者說，任何其他被認為相關的要求。

英國立法會讓消費者物聯網更加安全嗎？

有用嗎？可能有用，也可能沒用，至少沒有希望的那么有用。

有兩個根本困難。第一是制造商的自我安全聲明。有好主意的、新的、小的制造商將繼續搶在競爭對手之前把他們的產品推向市場，而匆忙推向市場意味著產品功能的安全性開發不足。

不安全的產品仍然會進入市場——如果10臺智能設備中有9臺不讓黑客進入，而第10臺讓黑客進入，那么對消費者來說，意義何在？

第二個問題是：由誰來認證產品是否符合要求？解決此類問題的標準方法是引入強制性第三方認證，而這可以通過二級立法輕松完成。但是，由誰來支付必要的產品測試費用？

如果由制造商來付費，那么他們可能會放棄向英國銷售——英國只是龐大全球市場中的一個而已。

如果由經銷商來付費，則有可能會將物聯網設備趕出市場，從而讓智能家居設備在英國市場上短缺。而用戶可能會通過國外網站購買不安全、未經測試的外國產品。

政府顯然意識到了這些問題，并希望在分階段實施的同時繁榮市場，而不是一口氣要求太多。不過，也只有時間才能證明它是否成功。

但現實是，這項立法本身并不能解決這些問題。成功的最大希望將是，如果有足夠多的其他國家政府認為這一做法有價值，并頒布了要求采取同樣措施的立法。（來自iothome）只有這樣，才能迫使所有制造商構建安全的消費類物聯網設備。

與此同時，我們所有人都有責任采取我們所能采取的預防措施，而不是假設我們購買的設備是安全的。正如Avast和斯坦福大學新的研究表明，我們發現物聯網世界中仍有很多地方沒有受到保護。
作者：Kevin Townsend