隨著當今對數據隱私和數據安全的日益關注，物聯網 (IoT) 制造商如果想保持消費者的信任，就必須提高自己的競爭力。這是歐洲電信標準協會 (ETSI) 最新網絡安全標準的共同目標。

被稱為ETSI EN 303 645的消費設備標準旨在確保數據安全并實現廣泛的制造商合規性。因此，隨著越來越多的設備進入家庭和工作場所，讓我們更深入地研究這個標準。

ETSI 標準及其保護

它的名字雖長，卻預示著一個重要的設備保護時代。ETSI EN 303 645 是認證機構用來評估物聯網設備安全性的標準和方法。ETSI 作為一項國際適用的標準而開發，它為制造商提供了安全基準，而不是一套全面的精確指南。該標準還可能為全球不同地區未來的各種物聯網網絡安全認證奠定基礎。

例如，看看歐盟正在發生的事情。去年 9 月，歐盟委員會提出了一項擬議的網絡彈性法案，旨在保護消費者和企業免受安全功能不足的產品的侵害。如果獲得通過，這項全球首創的聯網設備立法將對在整個生命周期內具有數字元素的產品提出強制性網絡安全要求。

禁止默認密碼和弱密碼、保證支持軟件更新和強制測試安全漏洞只是其中的一些建議。有趣的是，這些相同的規則包含在 ETSI 標準中。

物聯網需要網絡安全標準

令人震驚的是，一個裝滿智能設備的家庭可能在一周內遭受多達12,000 次網絡攻擊。雖然這些網絡攻擊中的大多數都會失敗，但絕對數量意味著一些不可避免地會通過。ETSI 標準努力通過基本的安全措施將這些攻擊拒之門外，其中許多措施應該已經成為常識，但不幸的是，今天并不總是如此。

例如，ETSI 標準的基本要求之一是沒有通用的默認密碼。換句話說，您的健身追蹤器不應與市場上該品牌的所有其他健身追蹤器具有相同的默認密碼。您的智能安全攝像頭不應該有任何擁有類似攝像頭的人都可以利用的默認密碼。對于物聯網制造商來說，這似乎是常識，但已經發生了大量違規事件，僅僅是因為個人不知道更改其設備上的默認密碼。

ETSI 的另一個基本要求是允許個人刪除自己的數據。換句話說，用戶可以控制公司存儲的關于他們的數據。同樣，這在隱私領域是非常標準的東西，特別是考慮到歐洲的通用數據保護條例 (GDPR) 和加利福尼亞的消費者隱私法案 (CCPA) 等法規。然而，這還不是物聯網設備的普遍要求。考慮到許多這些設備收集了多少與健康和健身相關的數據，消費者數據隱私需要更加優先考慮。

ETSI 中的更多規則與安裝在此類設備上的軟件以及提供商如何管理軟件的安全性有關。例如，需要有一個報告漏洞的系統。提供商需要使軟件保持最新并確保軟件完整性。我們自然會期望我們使用的幾乎所有軟件都采用此類安全措施，因此該標準基本上只是物聯網數據保護的最低要求。

重要的是，ETSI 標準涵蓋了幾乎所有可以被視為智能設備的東西，包括可穿戴設備、智能電視和相機、智能家居助手、智能電器等等。該標準還適用于連接的網關、集線器和基站。換句話說，它涵蓋了所有各種設備的集中接入點。

為什么設備制造商今天應該實施標準

安全標準到底有多重要？由于缺乏消費者信任，如今許多公司正在失去客戶。谷歌和亞馬遜等大公司未能充分保護用戶數據的故事太多了，尤其是物聯網由于隱私問題多次成為焦點。不想失去業務、面臨罰款和訴訟以及損害公司聲譽的物聯網制造商應該理所當然地考慮實施 ETSI 標準。

畢竟，如今一個家庭可能有多達16 臺聯網設備，每臺設備都是家庭網絡的入口點。公司可能每位員工擁有一臺筆記本電腦，但每位員工可能擁有兩臺、三臺或更多其他智能設備。同樣，每個智能設備都是惡意黑客的切入點。如果沒有像 ETSI EN 303 645 這樣全面的網絡安全標準，擁有不受保護的物聯網設備的人需要擔心身份盜竊、勒索軟件攻擊、數據丟失等等。

如何基于ETSI進行測試和認證

認證是相當基礎的，分為五個步驟：

制造商必須了解 ETSI 標準的 33 條要求和 35 條建議，并據此設計設備。

制造商還必須購買一個考慮到 ETSI 標準而構建的物聯網平臺，因為該標準將從根本上影響設備的生產方式以及它們在平臺內的運行方式。

接下來，任何試圖滿足 ETSI 標準的物聯網制造商都必須填寫提供設備評估信息的文件。第一份文件是實施一致性聲明，它顯示了物聯網設備滿足或不滿足的要求和建議。第二個是 Implementation eXtra Information for Testing，它提供了測試的設計細節。

測試提供商接下來將根據這兩個文件對產品進行評估和測試，并給出報告。

測試提供商將提供印章或其他指示，表明產品符合 ETSI EN 303 645 標準。

隨著即將出臺的新法規，設備制造商和開發商應將跟上該標準視為最佳實踐。更好的網絡安全不僅對消費者保護很重要，對品牌聲譽也很重要。此外，該標準可為未來更嚴格的設備安全認證和措施提供依據。為明天準備今天。