到 2023 年，數十億物聯網 (IoT) 設備將進入生活、工業和關鍵基礎設施的幾乎每個領域。由於這些永久連接的智慧型裝置處理非常敏感的數據，因此它們的最新性至關重要，尤其是在發生駭客攻擊、資料濫用或工業間諜活動時。

在此背景下，弗勞恩霍夫 ISI 的一項新研究分析了 520 億台設備的數據，地理位置– 以及他們安裝的韌體是否是最新的以及歐洲通用資料保護法規對此的影響。研究結果表明，非常嚴重的網路攻擊很容易發生只是時間問題。

用戶使用穿戴式裝置追蹤自己的健康狀況和健身情況，在客廳中放置帶有強大麥克風的智慧揚聲器，並安裝來自無名製造商的廉價感測器以自動化智慧家庭中的任務。這同樣適用於工業，例如工業物聯網設備連接和監控機器。大多數這些設備一旦安裝並運行後很快就會被遺忘。

過時的韌體和更新或修補程式中可能存在的漏洞常常被忽視，即使某些物聯網設備製造商提供了這些漏洞，但情況並非總是如此，因為他們中的許多人優先考慮快速上市時間，並且只提供不頻繁的軟體或韌體更新，並且修補程式。這可能會造成嚴重的隱私和安全威脅對於用戶。

世界各地的政策制定者已經意識到用戶面臨的這些威脅，並尋求歐洲 GDPR 等強而有力的法規。此外，歐盟指令中規定的「更新權」自 2022 年起生效，是邁向更安全設備的另一個重要步驟。最近，歐盟委員會簽署了《網路彈性法案》，該法案規定製造商有法律義務在消費者購買後的幾年內向消費者提供及時的安全更新。

這對智慧型設備製造商有何影響？

一項新研究試圖回答這個問題和其他問題，並分析了 2015 年 10 月至 2021 年 11 月底來自物聯網搜尋引擎 Censys.io 的 400 TB 真實世界數據。其中，1.75 億台設備透露了可分析信息，從而形成了一個數據集，其中包含來自 384 個製造商的 7,116 個不同型號，分為 17 種不同的設備類型。

這些數據可以對各種國家進行比較，即所有歐盟成員國、七國集團國家和瑞士，還有俄羅斯和烏克蘭，以及馬來西亞、印尼、新加坡、日本和英國等亞洲國家。在美國(52%)，其次是德國(7%)、俄羅斯(4%)、英國(4%)、日本(4%)、法國(4%)、加拿大（3%）、波蘭（3%） 、新加坡（1%）、印尼（1%）等國家（16%）。

舊韌體和設備老化導致的主要網路安全風險

檢查 2021 年底的現狀，德國設備上運行的韌體的壽命為 689 天，分別為 1.9 年 (y)。此外，這些設備尚未收到任何其他更新（軟體更新、補丁等）將近一年（351天）。

在歐盟層面，情況更糟，韌體更新延遲了 930 天（2.5 年），其他更新被忽略了 411 天（1.1 年）。這意味著許多此類設備的使用都與重大網路安全風險相關，而資料保護不再可能——例如，這些設備很容易受到攻擊，很容易成為駭客攻擊的目標。

從設備使用年限和地理差異來看，結果發現愛爾蘭的設備是最新的（239 天），而葡萄牙則以 786 天排在最後。如果我們看看東南亞，就會發現新加坡表現最好（299 天），馬來西亞表現最差（477 天，1.3 年）。最古老的設備可以在日本找到（716 天，差不多 2 年）。

GDPR 是否提高了已安裝韌體的最新性？

關於自歐洲一般資料保護規範 (GDPR) 生效以來情況是否有所改善的問題（其中包含關於此問題的明確規定），該研究顯示了有趣的發現：雖然在全球範圍內，設備」 使用期限縮短了，但歐洲的情況卻截然不同：事實上，35 個歐盟成員國中有28 個國家的設備使用期限平均增加了99 天。

Frank Ebbers 博士，兩本著作的作者研究論文關於這個主題（發表在2023年IEEE第八屆軟體工程與電腦系統國際會議(ICSECS)和一在IEEE 軟體工程彙刊），解釋結果。「低更新率應該引起製造商和用戶以及政策制定者的警惕，並加強對這個問題的關注。同樣令人驚訝的是，GDPR [沒有]對歐盟內部的軟體更新產生預期的影響。

“這可能是因為用戶認為現在 GDPR 已經生效，只有公司才負責更新，並且這些組織更關心客戶的隱私。”

埃伯斯認為，製造商、監管機構用戶自己在這裡負有責任。“只有通過這三個合作夥伴的共同努力，才有可能創建更安全的IT基礎設施。”

人們常說，這種情況可以透過自動更新（即所謂的「無線」更新）來改善。他對此持批判態度。“這裡出現的第一個問題是誰對自動更新錯誤造成的損害負責。想想醫療領域，便攜式心電圖設備的錯誤更新可能會奪去生命。”

因此，監管機構應向製造商提出建議，迫使（或推動）他們將良好的更新機制納入設備中，以便最終用戶輕鬆理解。此外，作為 CE 標籤的一部分，更新應成為在歐洲調試的先決條件。