全美第一部针对物联网装置资安的加州法案 SB 327 已在 2020 年 1 月 1 日正式生效,即日起要求连接装置的制造商须提供合理的安全功能,给予消费者物联网装置的基本资安防护。
法规推陈出新,规范标准设计顾及共通性
自 2018 年 9 月底通过后,加州法案 SB 327《Title 1.81.26. Security of Connected Devices》(下称加州装置资安法)便持续受各界瞩目,除全美第一部物联网装置专法的代表性外,内容未臻完善的部分诸如合理安全(Reasonable Security)之定义、对 HIPAA 等法律的豁免性等也引发不少讨论。虽至生效日前加州-并未有更进一步补充,然而经由法案颁行,也让在加州销售的装置制造商须于设计过程中确实提供安全措施,给予消费者对物联网装置的基本资安防护。
鉴于物联网规范标准陆续推陈出新,后续相关法规或机制的设计或将延续与相容暨存法规,以提高共通性与国际对接,例如奥勒冈州物联网装置资安法(House Bill 2395)即是以加州法案为基础,仅将装置的范围聚焦于个人家庭,并对装置制造商定义略有出入,对于厂商须具备的资安防护要求则相似;国际认证单位 UL 推出的 IoT Security Rating 则相容现行部分法规框架之要求,以利厂商采用。
▲ UL IoT Security Rating 符合部分法规框架要求。(Source:UL;拓墣产业研究院整理整理,2020.1)
资安立法现聚焦产品设计,或需扩大至数据管理
观察近年物联网相关资安规范与标准,无论已发表的 EU Cybersecurity Act 2019、US NIST IoT Cybersecurity Capabilities Base line、ETSI TS 103 645,抑或 2020 年甫生效的加州装置资安法、英国酝酿中的资安标签等,皆将规范对象锁定在装置制造商,就装置之密码设定、软件更新、安全通讯、资料加密等大方向予以管制。此举将物联网资安责任归属延伸至设计源头,透过官方与民间之机制消弭物联网的最大隐忧,建构消费者对物联网装置的信心以壮大市场,对消费者及厂商而言皆有正面影响可期。
物联网不仅有装置被骇客入侵及消费者疏于管理的资安议题,于数据管理亦为风险管控点之一。近期发生的 IoT 装置商 Wyze 数据外泄事件,即是由于员工操作及内部管理不当,造成 240 万客户资料如使用者名称、账号、健康资讯等曝露于网络上长达 22 天;Wyze 事件受害者或将针对所受影响对企业提起集体诉讼,但事实上,现行物联网资安法规虽就设备装置多有着墨,然在企业或平台数据管理部分却相对乏善可陈。
经此事件,消费者于物联网的信任无疑又蒙了一层灰,故对-及企业而言,当物联网相关厂商的商业模式是建基于信任上时,相关立法的对象除设备装置设计外,未来或也将进一步扩大范围,将数据管理纳入规范对象。
(首图来源:shutterstock)
