歐盟貿(mào)易協(xié)會 DigitalEurope 于周三(9 月 8 日)發(fā)布的一份報告強(qiáng)調(diào)缺乏基礎(chǔ)網(wǎng)絡(luò)安全要求，稱現(xiàn)有規(guī)則不充分，并呼吁在歐盟努力更新其網(wǎng)絡(luò)安全立法時進(jìn)行橫向監(jiān)管。

[[422846]]

隨著人們家中和日常生活中通過物聯(lián)網(wǎng) (IoT) 連接的設(shè)備數(shù)量迅速增加，網(wǎng)絡(luò)攻擊的脆弱性正在增加。

Euroconsumers 的道德黑客最近進(jìn)行的一項測試發(fā)現(xiàn)，數(shù)量驚人的普通智能家居設(shè)備(例如 WiFi 路由器、嬰兒監(jiān)視器和警報系統(tǒng))存在嚴(yán)重缺陷，使它們?nèi)菀资艿娇赡芊浅Ｃ舾械穆┒吹挠绊憽?/p>

然而，根據(jù) DigitalEurope 的報告，現(xiàn)有的產(chǎn)品立法在解決網(wǎng)絡(luò)安全方面存在不足。

“由于其范圍和合格評定方法通常旨在解決物理產(chǎn)品功能，現(xiàn)有的產(chǎn)品立法無法正確解決管理或組織方面的問題，這對于更多類型的設(shè)備而言更為突出和常見，”

去年 12 月，作為其新的歐盟網(wǎng)絡(luò)安全戰(zhàn)略的一部分，歐盟委員會發(fā)起了一項提案，以修訂網(wǎng)絡(luò)和信息安全 (NIS) 指令中設(shè)定的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，這是歐盟范圍內(nèi)關(guān)于該主題的首個立法。

新的立法，即所謂的 NIS2，旨在加強(qiáng)和擴(kuò)大其前身的監(jiān)管范圍和數(shù)量，以應(yīng)對網(wǎng)絡(luò)威脅的普遍上升，但也應(yīng)對大流行引起的對網(wǎng)絡(luò)和信息依賴的增加所導(dǎo)致的日益嚴(yán)重的脆弱性服務(wù)。

大西洋理事會(Atlantic Council)網(wǎng)絡(luò)和平研究所(cyber Peace Institute)首席公共政策官克拉拉·喬丹(Klara Jordan)表示，當(dāng)前的網(wǎng)絡(luò)彈性狀態(tài)是一個“惡性循環(huán)”，既要處理后果，又要減輕威脅，這種惡性循環(huán)有可能“破壞對數(shù)字生態(tài)系統(tǒng)的信任，阻止我們充分利用技術(shù)”。這是其在最近的一次網(wǎng)絡(luò)安全會議上警告。

統(tǒng)一的橫向措施

接受 DigitalEurope 報告調(diào)查的專家絕大多數(shù)警告說，網(wǎng)絡(luò)安全不應(yīng)完全或主要將其重點(diǎn)放在與產(chǎn)品相關(guān)的功能上，例如密碼，而是強(qiáng)調(diào)為了充分保護(hù)，必須考慮組織要求。

該報告指出，當(dāng)前的歐盟產(chǎn)品規(guī)則基于可物理驗證的因素，例如產(chǎn)品的電氣特性或制造材料，無法充分應(yīng)用于網(wǎng)絡(luò)安全等無形事物。

另一個問題是，目前驗證是在產(chǎn)品投放市場的那一刻進(jìn)行的，在整個生命周期中沒有為持續(xù)監(jiān)控留出空間，這是在不斷發(fā)展的網(wǎng)絡(luò)安全威脅和漏洞之前保持領(lǐng)先所必需的。

鑒于通用產(chǎn)品和組織基線網(wǎng)絡(luò)安全要求的比例很高，DigitalEurope 咨詢的人一致認(rèn)為，為連接設(shè)備定義這些要求對于確保其整體安全至關(guān)重要。

報告稱，在該領(lǐng)域?qū)嵤M向監(jiān)管是確保立法與標(biāo)準(zhǔn)之間充分聯(lián)系、協(xié)調(diào)不同產(chǎn)品和不同領(lǐng)域要求的關(guān)鍵方式。報告警告說，現(xiàn)有的產(chǎn)品立法是不夠的。

NIS2 指令的報告員 Bart Groothuis 告訴 EURACTIV，報告中要求的那種橫向立法是非常需要的，但不適合當(dāng)前的 NIS2 提案，他說他已經(jīng)向委員會提出了一些問題的場合。

“如果沒有這樣的橫向立法，歐盟網(wǎng)絡(luò)安全戰(zhàn)略將是不完整的”，他說。 “委員會應(yīng)該在盡可能短的時間內(nèi)提出提案。”

DigitalEurope 表示，如果將現(xiàn)有產(chǎn)品立法用于解決網(wǎng)絡(luò)安全問題，則應(yīng)僅限于基本要求，并在橫向法規(guī)生效后予以廢除。

可入侵的房屋

Euroconsumers 的研究展示了這些風(fēng)險如何在非常個人的層面上影響消費(fèi)者。

作為他們的“Hackable Home”項目的一部分，兩名道德黑客測試了由知名和不太知名的生產(chǎn)商生產(chǎn)的 16 種廣泛使用的智能家居設(shè)備，總共發(fā)現(xiàn)了 54 個漏洞。在試用的 10 個設(shè)備中，至少檢測到的一個弱點(diǎn)被歸類為“高嚴(yán)重性”或“嚴(yán)重”。

“結(jié)果令人擔(dān)憂，”歐洲消費(fèi)者政策和執(zhí)行主管埃爾斯·布魯格曼說。“制造商必須做得更多。這對建立消費(fèi)者信任至關(guān)重要，這將使整個物聯(lián)網(wǎng)生態(tài)系統(tǒng)蓬勃發(fā)展。如果它不安全，它就不應(yīng)該存在。”

調(diào)查結(jié)果回應(yīng)了其他團(tuán)體和專家對目前市場上許多智能設(shè)備中發(fā)現(xiàn)的潛在風(fēng)險的擔(dān)憂。 在許多情況下，密碼是弱點(diǎn)，特別是當(dāng)設(shè)備出廠時帶有用戶通常不會更改的默認(rèn)登錄詳細(xì)信息。

英國消費(fèi)者團(tuán)體今年早些時候，在短短一周內(nèi)檢測到 2,435 次惡意嘗試使用弱默認(rèn)用戶名和密碼登錄“智能家居”設(shè)備。