加利福尼亞將成首個對物聯網裝置安全實施立法監管的州
加利福尼亞州州長傑裡·布朗簽署了一項涵蓋“智慧”裝置的網路安全法,使加州成為第一個擁有此類法律的州。該法案SB-327於去年推出,並於8月底通過了州參議院的審議。從2020年1月1日開始,任何“直接或間接”連線到網際網路的裝置製造商必須為其配備“合理”的安全功能,旨在防止未經授權的訪問,修改或資訊洩露。
裝置如果可以使用密碼在區域網外訪問,則需要為其個體提供唯一的密碼,或強制使用者在第一次連線時設定自己的密碼,這意味著沒有更多通用的預設憑據供黑客猜測。
該法案被一些人稱讚為良好的第一步,也有人批評其模糊性。網路安全專家羅伯特·格雷厄姆一直是其最嚴厲的批評者之一。他認為,通過專注於新增“好”功能而不是刪除那些開啟裝置直至導致攻擊的不良功能,會導致安全問題倒退。他認為立法要求設立密碼沒有問題,但並未涵蓋“可能會或可能不會被稱為密碼”的所有身份驗證系統,這仍然可能讓製造商留下那種允許毀滅性Mirai殭屍網路傳播的安全漏洞。
包括哈佛大學同事布魯斯施奈爾在內的其他人表示,這是一個良好的開端。 “這可能還遠遠不夠 - 但是沒有理由不通過它,”。雖然該規則僅適用於全州,但任何在加利福尼亞州銷售產品的裝置製造商都會將安全特性實施到其它州。
國會已經提出了幾項與物聯網相關的法案,但暫時還沒有一項法案進入投票環節。2017年物聯網網路安全改進法案將為政府購買的連線裝置設定最低安全標準,但不包括電子裝置。 2017年的物聯網消費者TIPS法案將指導聯邦貿易委員會為連線裝置周圍的消費者 ofollow,noindex">開發 ITPklWYmYDO5IDNy0DZp9VZ0l2cmYiJ05WZkVHdzZkMl42Yu02bj5SZy9GdzRnZvN3byNWat5yd3dnRyUiR" target="_blank" rel="nofollow,noindex">教育 資源,並且SMART IoT法案將要求商務部對該行業的狀況進行研究。