اجتازت كاليفورنيا أمان جهاز SB-327 IoT. يلزم مطوري النظام الذكي بإنشاء زوج فريد من اسم المستخدم / كلمة المرور لهم. وقد تم التوقيع على الوثيقة بالفعل من قبل حاكم الولاية. نتحدث عن رأي المجتمع وتأثير القانون الجديد على تطوير الصناعة.
/ فليكر / al king / ccما هو الجوهر
تم تطوير SB-327 ، الذي يسمى أمن المعلومات: الأجهزة المتصلة ،
من قبل أعضاء مجلس الشيوخ في كاليفورنيا منذ فبراير الماضي. تشير "الأجهزة المتصلة" في هذه الحالة إلى جميع الأدوات التي لها اتصال بالإنترنت أو عنوان IP أو Bluetooth.
وقالت السناتورة هانا-بيت جاكسون ، التي أعدت مشروع القانون ،
إن مثل هذا القانون كان يجب أن يظل قائماً لفترة طويلة. وفقًا لها ، نادرًا ما يهتم المستهلكون العاديون بالمسائل الأمنية للأدوات التي يشترونها ، لأن المطورين ليسوا في عجلة من أمرهم لإصلاح الثغرات الأمنية.
أهمية خاصة هي المشكلة في حالة لعب الأطفال. كمثال على ذلك ، في إضافة إلى مشروع القانون ، يستشهد أعضاء مجلس الشيوخ بالوضع مع دمى صديقي كايلا (
تحليلات أرضية مجلس الشيوخ بتاريخ 08/28/18 ). يمكنهم التواصل مع الأطفال وإعادة توجيه السجلات إلى خوادم الشركة المصنعة ، على سبيل المثال ، لتحليل سؤال والعثور على إجابة له. هذا يخلق نقطة ضعف محتملة للبيانات الشخصية للطفل. لهذا السبب ، تم
حظر بيع هذه الدمى بشكل عام في ألمانيا.
الشرط الرئيسي لقانون ولاية كاليفورنيا
هو أن كل مصنع لأجهزة إنترنت الأشياء يجب أن يزود أجهزته بـ "معدات الحماية المناسبة". تعتمد درجة الحماية على وظيفة الجهاز والمعلومات التي يستخدمها وينقلها.
لا ينص القانون على المقصود بـ "الحماية المناسبة" ، ولكن تم توضيح متطلبات آليات المصادقة. إذا كان الجهاز المتصل لديه اتصال بالإنترنت ، فيجب أن يستوفي نظام المصادقة الخاص به أحد معيارين. أولاً ، يقوم المصنع نفسه بإنشاء مجموعات فريدة من تسجيل الدخول وكلمة المرور لكل جهاز على حدة. الثاني - يلزم المطور المشتري بتغيير بيانات المصنع القياسية لتسجيل الدخول عند استخدام المعدات للمرة الأولى.
يغطي القانون جميع الشركات التي تصنع أو تبيع أجهزة إنترنت الأشياء في كاليفورنيا. سوف يدخل SB-327 حيز التنفيذ في 1 يناير 2020.
آراء حول القانون
تم استيفاء القانون الجديد بشكل غامض. اتفق بعض المستخدمين والخبراء على أن حظر كلمات المرور القياسية قليلاً على الأقل ، ولكنه سيزيد من أمن أجهزة إنترنت الأشياء. ومع ذلك ، فإن عدم وجود متطلبات محددة أخرى للمصنعين أربك المجتمع.
لقد أقر
خبراء الأمن السيبراني القانون بشكل متشكك. كان روبرت غراهام ، أحد خبراء النقود في الأمن الإلكتروني في Errata Security ، أحد النقاد الرئيسيين.
يكتب روبرت أن صياغة "العلاجات" غامضة للغاية ، لذلك سيكون من الصعب على المنظمات تحديد معايير لتلبية متطلبات القانون.
علاوة على ذلك ، من المستحيل تحديد طرق في القانون لمواجهة تهديدات محددة ، لأن أنواع جديدة من الهجمات تظهر باستمرار. يعتقد جراهام أنه لا يمكن تعريف طرق حماية إنترنت الأشياء في القانون ، وأن SB-327 سيزيد فقط من تكلفة تصنيع الأجهزة الذكية.
القانون غير مفيد أيضًا في
رأي جو ليا ، نائب رئيس منتج Armis. تقوم شركته بإنشاء منصة لحماية شبكات إنترنت الأشياء. وفقًا لـ Joe ، تعد أمان إنترنت الأشياء صناعة معقدة لا تقتصر على مشكلات كلمة المرور للأجهزة.
دعم عدد من خبراء أمن المعلومات مشروع القانون الجديد. أحد هؤلاء الأشخاص كان بو وودز ، وهو متخصص في الأمن بمركز أبحاث المجلس الأطلسي. ووفقا له ، تم استخدام صياغة غامضة في التشريع عمدا. سيسمح هذا للشركات بتطوير متطلبات حماية الجهاز بشكل مستقل.
يعتقد العديد من الخبراء أنه حتى القانون غير الكامل أفضل من غيابه. قال مؤلف الأمن السيبراني ومصور التشفير بروس شناير
إن SB-327 خطوة في الاتجاه الصحيح ، على الرغم من أن هذه الوثيقة ليست كافية لتنظيم إنترنت الأشياء بالكامل.
"يجب أن يساعد القانون في حل مشكلة الوصول غير المصرح به إلى الأجهزة. ومع ذلك ، فإنه ليس دواءً لكل داء. "يعلق سيرجي بلكين ، رئيس قسم تطوير خدمات تأجير البنية التحتية في سحابة 1cloud.ru . - يجب أن تؤدي كلمات المرور الفريدة والقوية إلى تعقيد اختراق الأدوات الذكية بمساعدة البحث في القاموس العادي. ومع ذلك ، هناك العديد من الطرق الأخرى للوصول إلى الأجهزة ، مثل إعادة ربط DNS . يؤثر هذا النوع من الهجمات على أكثر من نصف مليار جهاز إنترنت الأشياء في جميع أنحاء العالم ".
يدعم
المستخدمون بشكل عام مبادرة حكومة كاليفورنيا.
يلاحظ سكان Hacker News أن كلمات مرور الشركات المصنعة قد تكون متوقعة للغاية ومطابقة للرقم التسلسلي. لكن هذا الحل أفضل من كلمة المرور القياسية لجميع الأجهزة من نفس الطراز.
يجد بعض المستخدمين القانون لا معنى له. أشار أحد المعلقين على Slashdot
إلى أنه في أغلب الأحيان لا يتم حل مشكلات الأمان لأجهزة إنترنت الأشياء عن طريق استبدال كلمة المرور وترتبط بنقاط الضعف في البرامج الثابتة ووحدات البرامج. على سبيل المثال ، في عام 2017 ، تم
اكتشاف خطأ في مكتبة gSOAP ، والتي يتم استخدامها من قبل الشركات المصنعة لأجهزة إنترنت الأشياء. خلال المظاهرة ، اقتحم خبراء الأمن كاميرا منزلية وتلقوا صورة منها.
من غيره يصيغ قوانين إنترنت الأشياء
ليست كاليفورنيا وحدها هي التي تعمل على حماية إنترنت الأشياء. خلال العام الماضي ، تم تقديم العديد من المشاريع حول هذا الموضوع إلى الكونغرس الأمريكي. ومن بينها قانون تأمين إنترنت الأشياء لعام 2017 وقانون تحسين الأمن السيبراني لإنترنت الأشياء لعام 2017 ، والذي يتطلب من الوكالات الفيدرالية تطوير متطلبات الأمان القياسية لأجهزة إنترنت الأشياء.
قبل ذلك ، أصدرت الحكومة الأمريكية مبادئ توجيهية لمصنعي الأجهزة الذكية ، والتي جمعت توصيات لحماية البيانات الشخصية للمستخدمين. على سبيل المثال ، تم نشر مثل هذه
الوثيقة في عام 2015 من قبل لجنة التجارة الفيدرالية (FTC).
/ Flickr / coniferconifer / CCفي أوروبا ، هناك أيضًا وثائق مماثلة ، على وجه الخصوص ،
التوجيه بشأن سلامة الشبكات ونظم المعلومات (توجيه NIS) ، اعتمد في يوليو 2016. لا تتعامل بشكل مباشر مع إنترنت الأشياء ، ولكنها تحدد متطلبات حماية أنظمة الشركة في المجالات الحرجة: الطاقة ، والتمويل ، والرعاية الصحية ، وصناعة النقل. تحتوي الوثيقة على قائمة قواعد فقط ، ويجب على كل دولة في الاتحاد الأوروبي تحديد طرق تنفيذها بشكل مستقل.
كما تعمل الحكومة الأسترالية
على تطوير قانون حماية أجهزة إنترنت الأشياء. وفقًا للسياسيين ، فإنهم يسعون إلى إنشاء وثيقة متوازنة تحمي المستهلكين ولا تحد من الابتكار في إنترنت الأشياء. للقيام بذلك ، فإن المنظم في حوار مع ممثلي الصناعة. حتى الآن ، يناقش السياسيون فقط متطلبات الشركات المصنعة للأجهزة الذكية.
وبالتالي ، كان قانون كاليفورنيا أول من صاغ المتطلبات العامة لجميع الشركات المصنعة لأجهزة إنترنت الأشياء. وعلى الرغم من أنها غير كاملة ، إلا أنه
يعتقد أن التوجيه سيصبح دليلاً للدول الأخرى وسيبدأ العمل النشط على سلامة الأدوات الذكية.
بعض المواد الجديدة من مدونة شركتنا: