加州 IoT 裝置資安法生效,相容及範圍成未來法規設計關鍵

作者 | 發布日期 2020 年 01 月 30 日 7:30 | 分類 物聯網 , 科技政策 , 網路 Telegram share ! follow us in feedly


全美第一部針對物聯網裝置資安的加州法案 SB 327 已在 2020 年 1 月 1 日正式生效,即日起要求連接裝置的製造商須提供合理的安全功能,給予消費者物聯網裝置的基本資安防護。

法規推陳出新,規範標準設計顧及共通性

自 2018 年 9 月底通過後,加州法案 SB 327《Title 1.81.26. Security of Connected Devices》(下稱加州裝置資安法)便持續受各界矚目,除全美第一部物聯網裝置專法的代表性外,內容未臻完善的部分諸如合理安全(Reasonable Security)之定義、對 HIPAA 等法律的豁免性等也引發不少討論。雖至生效日前加州政府並未有更進一步補充,然而經由法案頒行,也讓在加州銷售的裝置製造商須於設計過程中確實提供安全措施,給予消費者對物聯網裝置的基本資安防護。

鑒於物聯網規範標準陸續推陳出新,後續相關法規或機制的設計或將延續與相容暨存法規,以提高共通性與國際對接,例如奧勒岡州物聯網裝置資安法(House Bill 2395)即是以加州法案為基礎,僅將裝置的範圍聚焦於個人家庭,並對裝置製造商定義略有出入,對於廠商須具備的資安防護要求則相似;國際認證單位 UL 推出的 IoT Security Rating 則相容現行部分法規框架之要求,以利廠商採用。

▲ UL IoT Security Rating 符合部分法規框架要求。(Source:UL;拓墣產業研究院整理整理,2020.1)

資安立法現聚焦產品設計,或需擴大至數據管理

觀察近年物聯網相關資安規範與標準,無論已發表的 EU Cybersecurity Act 2019、US NIST IoT Cybersecurity Capabilities Base line、ETSI TS 103 645,抑或 2020 年甫生效的加州裝置資安法、英國醞釀中的資安標籤等,皆將規範對象鎖定在裝置製造商,就裝置之密碼設定、軟體更新、安全通訊、資料加密等大方向予以管制。此舉將物聯網資安責任歸屬延伸至設計源頭,透過官方與民間之機制消弭物聯網的最大隱憂,建構消費者對物聯網裝置的信心以壯大市場,對消費者及廠商而言皆有正面影響可期。

物聯網不僅有裝置被駭客入侵及消費者疏於管理的資安議題,於數據管理亦為風險管控點之一。近期發生的 IoT 裝置商 Wyze 數據外洩事件,即是由於員工操作及內部管理不當,造成 240 萬客戶資料如使用者名稱、帳號、健康資訊等曝露於網路上長達 22 天;Wyze 事件受害者或將針對所受影響對企業提起集體訴訟,但事實上,現行物聯網資安法規雖就設備裝置多有著墨,然在企業或平台數據管理部分卻相對乏善可陳。

經此事件,消費者於物聯網的信任無疑又蒙了一層灰,故對政府及企業而言,當物聯網相關廠商的商業模式是建基於信任上時,相關立法的對象除設備裝置設計外,未來或也將進一步擴大範圍,將數據管理納入規範對象。

(首圖來源:shutterstock)

關鍵字: , ,