由 dawei Euroconsumers 的道德黑客最近进行的一项测试发现,数量惊人的普通智能家居设备(例如 WiFi 路由器、婴儿监视器和警报系统)存在严重缺陷,使它们容易受到可能非常敏感的漏洞的影响。
然而,根据 DigitalEurope 的报告,现有的产品立法在解决网络安全方面存在不足。
“由于其范围和合格评定方法通常旨在解决物理产品功能,现有的产品立法无法正确解决管理或组织方面的问题,这对于更多类型的设备而言更为突出和常见,”
去年 12 月,作为其新的欧盟网络安全战略的一部分,欧盟委员会发起了一项提案,以修订网络和信息安全 (NIS) 指令中设定的网络安全标准,这是欧盟范围内关于该主题的首个立法。
新的立法,即所谓的 NIS2,旨在加强和扩大其前身的监管范围和数量,以应对网络威胁的普遍上升,但也应对大流行引起的对网络和信息依赖的增加所导致的日益严重的脆弱性服务。
大西洋理事会(Atlantic Council)网络和平研究所(cyber Peace Institute)首席公共政策官克拉拉·乔丹(Klara Jordan)表示,当前的网络弹性状态是一个“恶性循环”,既要处理后果,又要减轻威胁,这种恶性循环有可能“破坏对数字生态系统的信任,阻止我们充分利用技术”。这是其在最近的一次网络安全会议上警告。
统一的横向措施
接受 DigitalEurope 报告调查的专家绝大多数警告说,网络安全不应完全或主要将其重点放在与产品相关的功能上,例如密码,而是强调为了充分保护,必须考虑组织要求。
该报告指出,当前的欧盟产品规则基于可物理验证的因素,例如产品的电气特性或制造材料,无法充分应用于网络安全等无形事物。
另一个问题是,目前验证是在产品投放市场的那一刻进行的,在整个生命周期中没有为持续监控留出空间,这是在不断发展的网络安全威胁和漏洞之前保持领先所必需的。
鉴于通用产品和组织基线网络安全要求的比例很高,DigitalEurope 咨询的人一致认为,为连接设备定义这些要求对于确保其整体安全至关重要。
报告称,在该领域实施横向监管是确保立法与标准之间充分联系、协调不同产品和不同领域要求的关键方式。报告警告说,现有的产品立法是不够的。
NIS2 指令的报告员 Bart Groothuis 告诉 EURACTIV,报告中要求的那种横向立法是非常需要的,但不适合当前的 NIS2 提案,他说他已经向委员会提出了一些问题的场合。
“如果没有这样的横向立法,欧盟网络安全战略将是不完整的”,他说。 “委员会应该在尽可能短的时间内提出提案。”
DigitalEurope 表示,如果将现有产品立法用于解决网络安全问题,则应仅限于基本要求,并在横向法规生效后予以废除。