2019年6月25日,美国国家标准与技术研究所[1](以下简称NIST)发布《物联网网络安全和隐私风险管理》[2]报告(以下简称报告),帮助联邦政府部门和其他组织在物联网设备的全生命周期内,更好地了解和管理与物联网设备相关的网络安全和隐私风险。

一、主要内容

(一)物联网为网络安全和隐私保护带来的新风险

物联网(IoT)是一个与物理世界相互作用的、快速发展和不断扩展的技术集合。物联网设备是信息技术(IT)和运营技术(OT)的结合,也是云计算、大数据、移动互联网、嵌入式系统和其他技术进步融合的结果。物联网设备可以提供先前设备缺少的数据存储、网络连接以及计算功能,赋予设备新的效率和技术能力,物联网还具备分析物理世界数据的能力,利用结果更好地为决策提供辅助、改变物理状态环境并预测未来的事件。

与传统信息通信设备相比,《报告》梳理了可能影响物联网设备的网络安全和隐私风险管理的三个高级别因素:

1、许多物联网设备以传统设备通常不具备的方式与物理世界交互。一些物联网设备通过对物理系统进行更改并以此影响物理世界的潜在风险,需要从网络安全和隐私角度予以明确认识和解决。此外,灵活性、可靠性、安全性和可操作性的要求也可能与传统设备的常见网络安全和隐私实践不一致。

2、许多物联网设备无法以与传统设备相同的方式进行访问、管理或监控。这可能需要对大量物联网设备手动执行操作、扩展员工知识和工具以涵盖更多种类的物联网设备软件,同时解决制造商和其他第三方对物联网设备进行远程访问或控制的风险。

3、物联网设备的网络安全和隐私功能的效率、可用性和有效性通常与传统设备不同。这意味着组织需要选择、实施和管理额外的操控手段,并决定在没有充足应急措施时如何应对风险。

(二)缓解上述高级别风险的考虑

物联网设备的网络安全和隐私风险可以从缓解上述三个高级别风险的目标角度来考虑:

1、保护设备安全。既防止设备被用于攻击,包括参与针对其他机构的分布式拒绝服务攻击(DDoS)、对网络流量进行监控或危及同一网段的其他设备。此目标适用于所有物联网设备。

2、保护数据安全。保护物联网设备收集、存储、处理、传输到物联网设备或从物联网设备传出的数据(包括个人信息等)的机密性、完整性和/或可用性。此目标适用于所有物联网设备,没有任何需要保护数据的设备除外。

3、保护个人隐私。保护受个人信息处理影响的个人隐私,优先于管理设备和数据安全保护风险。此目标适用于处理个人信息或直接、间接影响个人的所有物联网设备。

(三)缓解上述高级别风险目标的具体措施建议

上述三个目标,每一目标都建立在之前的目标基础之上,并不能取代或忽视任意一步,组织应当确保他们在整个物联网设备生命周期中解决网络安全和隐私风险带来的挑战,以实现相应的风险缓解目标。为此,《报告》提出以下建议:

1.了解物理网设备风险及缓解目标领域

了解物联网设备风险因素以及在适当的风险缓解领域可能对物联网设备降低网络安全和隐私风险所带来的挑战,包括:

  • 保护数据安全的风险缓解领域:

  • 资产管理:在整个设备的生命周期内保持所有物联网设备及其相关特征的更新和准确库存,以便将该信息用于网络安全和隐私风险管理目的。

  • 漏洞管理:识别并消除物联网设备软件和硬件中的已知漏洞,以降低不当利用的可能性和可操作性。

  • 访问管理:防止人员、系统和其他计算设备对物联网设备进行未经授权和不正当的物理和逻辑访问、使用和管理。

  • 设备安全事件检测:监视和分析物联网设备活动,以查找涉及设备安全性的事件的迹象。

  • 保护数据安全的风险缓解领域:

  • 数据保护:防止访问和篡改可能暴露敏感信息或允许操纵或破坏物联网设备操作的静止或传输中的数据。

  • 数据安全事件检测:监控和分析物联网设备活动,以查找涉及数据安全的事件迹象。

  • 保护个人隐私的风险缓解领域:

  • 信息流管理:保持当前个人信息生命周期的准确记录用于隐私风险管理目的,包括数据操作的类型、数据操作处理的个人信息元素、执行处理的主体以及任何其他相关的因素。

  • 个人信息处理权限管理:控制个人信息处理的权限,以防止未经许可的个人信息处理。

  • 知情决策:使个人能够理解个人信息处理以及与设备交互所带来的影响,参与有关个人信息处理或交互的决策。

  • 解除关联的数据管理:识别授权的个人信息处理,确定如何最小化或解除个人信息与个人及物联网设备的关联。

  • 隐私违规检测:监控和分析物联网设备活动,以查找涉及个人隐私的违规行为。

2.调整组织策略和流程

为解决和缓解整个物联网设备生命周期中的网络安全和隐私风险挑战,每个组织都需要考虑其任务要求和组织特征对风险进行特定化梳理。组织应确保他们在其网络安全和隐私政策的流程中,贯穿整个物联网设备生命周期的风险考虑因素。组织应确保明确说明物联网的范围,以避免混淆和模糊。这对于可能适用不同物联网定义的法律和法规的组织来说尤为重要。

同样,组织应确保其网络安全、供应链和隐私风险管理计划适当考虑物联网。包括以下内容:

  • 确定哪些设备具有物联网设备功能。若出现无法轻易断定的情形,需要有明确的机制确定可能采购或已采购的设备是否为物联网设备。

  • 识别物联网设备类型。了解正在使用哪些类型的物联网设备、每种类型支持的功能及用途。

  • 评估物联网设备风险。统筹考虑物联网设备所处的特定物联网环境,而不仅仅是评估物联网设备的单独风险。

  • 决定如何接受、避免、减轻、分散或转移风险。

3.为组织内的物联网设备实施更新的风险缓解方案

由于物联网设备数量庞大且类型繁多,因此组织的网络安全和隐私风险缓解措施可能需要大量资金。对于传统设备,大多数组织都有几十种类型:台式机、笔记本电脑、服务器、智能手机、路由器、交换机、防火墙、打印机等。而上述某类传统设备往往具有类似的功能。例如,大多数笔记本电脑都有类似的数据存储和处理能力、人机界面和网络接口等功能,这使组织能够确定如何管理传统设备类型中的各种的风险。

相比之下,由于物联网设备通常仅具有单一的用途性质,因此多数组织可能拥有比传统设备更多类型的物联网设备,组织可能需要确定如何管理数百或数千种物联网设备类型的风险。通常从一种物联网设备类型到另一种物联网设备类型的能力差别很大,其中一种类型可能缺乏数据存储和集中管理功能,另一种类型则具有众多传感器和执行器,能够使用本地和远程数据存储和处理功能并连接到多个内部和外部网络。能力的可变性导致涉及每种物联网设备类型的网络安全和隐私风险以及减轻这些风险的措施的变化。

此外,组织可能需要确定如何管理风险,不仅仅是从设备类型的角度,还包括设备使用。设备的特定使用方式可能是的一个安全目标(例如完整性)比另一个更重要(例如机密性),这可能需要不同的机制来降低风险。同样,当设备不需要某些功能并且不影响使用时,可以禁用该项功能以降低设备的风险。

二、评析

早在2005年,在日内瓦举办的信息社会世界峰会(WSIS)上,国际电信联盟专门成立了“无处不在的网络社会”专家工作组,提供了针对物联网的国际常设咨询机构,为物联网产业发展奠定方向。随后,日韩基于物联网的U社会战略、欧洲物联网行动计划以及美国智能电网、智慧地球等计划纷纷出台,我国也于2013年发布了《关于推进物联网有序健康发展的指导意见》。近年来,以可穿戴设备、智能家居、智能汽车为代表的物联网技术获得了高速发展和广泛应用。

在为人们的生活、生产带来便利的同时,物联网技术也带来了新的网络安全和隐私风险挑战。2016 年 2 月,韩国三星智能电视的语音控制成为头条新闻,其语音识别功能捕捉、窃听私人对话并传送给第三方。2017 年 2 月,美国的电视生产商 Vizio因智能电视技术捕捉收视数据后传回公司服务器并出售给第三方,涉嫌非法搜集用户收视数据受到处罚。

为此,物联网安全问题逐渐受到各国政府关注并予以规制。2017 年11 月,欧洲网络与信息安全局发布了《关键信息基础设施领域的物联网安全基线指南》,基于智能家居、智慧城市与智能公共交通、智能电网、智能汽车、智慧空港、电子医疗与智能医院等六个物联网垂直应用领域,提出关键信息技术设施领域的物联网安全应用标准。2019年3月,英国发布《消费类物联网设备安全行为准则》,旨在确保家用集线器、智能家居设备、安全摄像头、可穿戴设备和连网玩具等设备免受外部攻击和数据泄露。4月,日本总务省就《关于物理网设备的安全标准和技术标准合格认证》指南征求意见,以便明确终端设备标准认证。

在美国,这种趋势同样明显,2016年10月,攻击者利用物联网通过分布式拒绝服务攻击(DDoS)互联网基础设施提供商Dyn,导致北美和欧洲部分地区在长达几小时的时间内中断互联网服务,造成数以千计的闭路电视摄像头和打印机感染了Mirai病毒,造成一个超过100,000个端点的僵尸网络。这是首个利用物联网设备僵尸网络的重大DDoS攻击事件,引发了美国各界对物联网安全的重视,并最终催生了2017年美国《物联网网络安全改进法案》,重点关注美国政府购买的连接设备( connecteddevices)的最低安全标准。

根据预测,到 2020 年,物联网设备的数量会增加到 204 亿台,在默认密码和无法修复的漏洞等问题面前,物联网将给黑客更多可趁之机。2018年 9 月,加州通过全美首个物联网安全法案《SB 327》,要求物联网制造商必须遵守特定的安全措施,如不得使用默认密码等。今年6月13日,美国众议院通过了新的《物联网网络安全改进法案》,进一步提升政府采购物联网设备的安全性,并要求NIST为物联网设备制定安全指南,为政府和企业提供参照。

近年来,NIST已多次向美国政府提交关于物联网及网络安全的解决方案,本次《报告》基于物联网设备区别于传统设备的特殊性进行了梳理,进一步总结了不同设备主体分别可能存在的设备安全、数据安全以及个人隐私风险,同时对缓解上述风险提出了建议措施,为美国政府机关、设备供应商、服务提供商提供了指引,若《物联网网络安全改进法案》最终签署发布,NIST将在此基础上,出台更加细致的标注和细则。

[1] National Institute of Standards and Technology(NIST)是隶属于美国商务部的非监管机构,前身为1901年到1988年间存在的国家标准局(NBS)。其主要职能为促进美国企业创新和加强企业竞争力,通过推进测量科学、标准和技术的方式,来提高经济安全和改善美国人的生活质量。

[2]报告地址https://nvlpubs.nist.gov/nistpubs/ir/2019/NIST.IR.8228.pdf 。作者为Kaitlin R. Boeckl, MichaelJ. Fagan, William J. Fisher, Naomi B. Lefkovitz, Katerina N.Megas, Ellen M. Nadeau, BenjaminM. Piccarreta, Danna G. O"Rourke, Karen A. Scarfone.

作者简介:李雅文,中国信息通信研究院互联网法律研究中心研究员

声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。