:::
圖片說明:國際觀測

電信基礎設施

  • 數位匯流
  • 資安
  • 言論自由
  • 中介者
  • 消費者保護

英國DCMS發布消費者物聯網安全指南更新

英國數位文化媒體體育部(The Department for Digital, Culture, Media & Sport, DCMS)於今年3月7號先行公佈關於「Secure by Design」的指引,並於10月14號發布蒐集回饋意見後的最終修訂版本。在公告網頁上,除了公告給予製造商的「消費者物聯網設備安全實務作業規範」(Code of Practice for Consumer IoT Security)外,並有智慧家庭裝置的指導檔,且包含多國語言的版本。本次更新版本包含13條主要指引內容,其由DCMS及英國國家網路安全中心(NCSC)共同制定,並參考實務界及學術界的相關建議。DCMS在本檔中也指出,遵循本作業規範,可幫助個人資料保護的法律遵循作業,如GDPR要求安全的處理個人資料。DCMS也強調,優先遵循前三條指引,可在短時間內帶來最大的安全效益。指引條文如下:

  1. 禁止使用預設密碼
    所有IoT設備的密碼應該都是唯一的,且不得被重設為出廠預設值。
  2. 實施漏洞揭露政策
    所有提供連接網路設備及服務的公司,應提供公開的連絡資訊作為漏洞揭露政策的一部分,使安全研究人員及其他人能夠報告問題。已被公開的漏洞並應及時處理。
  3. 保持軟體更新
    IoT終端設備設備應公佈其生命週期政策,明確說明支援設備軟體更新的最短時間,以及採用該時間的原因。每次更新都應該向用戶清楚說明,而且需容易執行。對於無法執行更新的設備,應可對其進行隔離或更換。
  4. 安全保存身分驗證資訊及安全敏感資料(security-sensitive data)
    任何憑證都應安全地存儲在服務和設備上。不得使用硬編碼在設備軟體中的憑證。
  5. 通訊安全
    安全敏感性資料(包括所有遠端系統管理和控制資料)在傳輸過程中應該採用適用於技術和使用方式屬性的方法進行加密,金鑰都應實施安全管理。
  6. 最小化暴露的攻擊面
    所有設備和服務都應基於「最小許可權原則」運行;未使用的埠應關閉,硬體不得提供不必要的存取權限,服務在未使用時應不可用,並應儘量減少代碼,僅保留使服務正常運行所需的最少代碼。軟體應以適當的許可權運行,同時考慮安全性和功能。
  7. 確保軟體的完整性
    應使用安全啟動機制驗證 IoT 設備上的軟體。如果檢測到未經授權的更改,設備應向使用者/管理員發出警報。
  8. 確保個人資料受到保護
    設備製造商和 IoT 服務提供者都應向消費者提供清晰、透明的資訊,說明其個人資料的使用方式、使用者以及使用目的。其也適用於可能涉及的任何協力廠商(包括廣告商),若個人資料依據消費者的授權進行處理,則此授權應以合法、有效的方式獲得,並允許消費者隨時撤回。
  9. 使系統能從故障中迅速恢復
    考量網路中斷或電力中斷的可能性,根據 IoT 設備和服務的用途或依賴於其的系統,若 IoT 設備和服務需要具備恢復機制,則應具備相應的內置恢復機制。
  10.   監控系統的遙測資料(telemetry data)
    若利用 IoT 設備和服務收集遙測資料,如使用和測量資料,則應監控是否存在安全異常。
  11.   使用戶能輕鬆的刪除個人資料
    設備和服務的設置應允許消費者在轉讓設備所有權、刪除資料或處置設備時更容易刪除個人資料,且應向消費者提供有關如何刪除其個人資料之明確說明
  12.   使設備的安裝和維護簡單化
    IoT 設備的安裝和維護應採用最少的步驟,並應遵循安全最佳做法,另外應向消費者提供有關如何安全設置設備的指引。
  13.   驗證輸入的資料
    通過使用者介面輸入的資料,以及通過應用程式設計發展介面 (API) 傳輸的資料或在服務和設備之間的網路傳輸的資料均應執行驗證。
0則留言

發表留言的身分:

Google 帳戶登入 帳戶登出 Facebook 帳戶登入 帳戶登出