物联网安全基金会的一份新报告强调,近 80% 的消费者物联网 (IoT) 公司没有使用漏洞披露来报告安全问题。这项措施被视为供应商对安全性的重视程度的代表,这清楚地表明,要帮助消费者在设备连接到互联网时保持安全,还有很长的路要走。
该报告是 2018 年开始的系列报告中的第四份,研究了消费者物联网中漏洞披露的实践——扩展到企业和 B2B 模型。它通常被视为该行业的网络安全进度晴雨表,因为漏洞披露 - 或在公共渠道宣传可以报告并修复安全漏洞 - 被认为是任何公司向互联市场销售产品的基本卫生机制。
然而,报告称,尽管同比略有改善,但进展仍然缓慢。在接受调查的 315 家公司中,只有 21 家公司能够满足预期的监管要求,例如 ETSI 欧洲标准 (EN) 303 645 和 ISO/IEC 29147:2018 漏洞披露,以及美国 2020 年物联网网络安全改进法案。
IoTSF 报告漏洞披露绿名单公司
在接受调查的 315 家公司中,只有 21 家公司在绿名单上——这些公司能够满足预期的监管要求。
(来源:物联网安全基金会)
IoT 安全基金会董事总经理 John Moor 表示:“我们的共同目标是让 100% 的联网产品 (IoT) 供应商实践良好的安全卫生——在数字化转型时代仅实现 21.6% 只是支持这一呼吁市场监管。”
他说,通过测试的人数少得令人无法接受。“几乎五分之四的公司仍未提供非常基本的安全卫生机制,无法将安全漏洞报告给供应商,以便修复。”
Moor 补充道:“对于所有物联网供应商而言,制定漏洞披露计划的重要性再怎么强调也不为过——这确实是确保用户安全和保护互联产品和服务的重要机制。我们最近还发布了我们修订后的最佳实践指南以及本报告,两者均来自 IoTSF 网站。真的没有无知的借口——尤其是在世界各地的监管要求很快就会