加利福尼亚州
已通过SB-327 IoT设备安全性。 它要求智能系统开发人员为他们创建唯一的用户名/密码对。 该文件已经由州长签署。 我们谈论社区的意见以及新法律对行业发展的影响。
/ Flickr / Al King / CC实质是什么
自去年2月以来,由加利福尼亚州参议员
开发的
SB-327 ,即信息安全:互联设备。 在这种情况下,“连接的设备”是指具有Internet连接,IP地址或蓝牙的所有小工具。
法案的起草人参议员汉娜·贝斯·杰克逊(Hannah-Beth Jackson)
说,这样的法律应该存在很长时间了。 据她说,普通消费者很少对他们购买的小工具的安全问题感兴趣,因为开发人员并不急于修复安全漏洞。
特别重要的是儿童玩具的问题。 例如,除了该法案外,参议员还引用了“我的朋友”凯拉娃娃的情况(
参议院地板分析日期为08/28/18 )。 他们可以与孩子交流,并将记录转发到制造商的服务器,例如,分析问题并找到答案。 这为孩子的个人数据创建了潜在的漏洞。 因此,在德国通常
禁止销售这种玩偶。
加利福尼亚州法律的主要要求
是 ,每个物联网设备制造商都必须为其小工具提供“适当的保护设备”。 保护程度取决于设备的功能及其使用和传输的信息。
法律没有说“适当保护”的含义,但明确说明了身份验证机制的要求。 如果连接的设备可以访问Internet,则其身份验证系统必须满足以下两个条件之一。 首先,制造商自己为每个单独的设备创建唯一的登录名和密码组合。 第二-开发商有义务使买方在首次使用设备时更改标准的工厂数据以进行登录。
该法律涵盖了在加利福尼亚州制造或销售物联网设备的所有公司。 SB-327将于2020年1月1日生效。
关于法律的意见
新法律被模糊地遵守。 一些用户和专家同意,至少略微禁止使用标准密码,但这将增加IoT设备的安全性。 但是,缺乏针对制造商的其他特定要求使社区感到困惑。
网络安全专家怀疑地通过了法律。 评论家之一是勘误安全公司网络安全专家罗伯特·格雷厄姆。 罗伯特(Robert)
写道 ,“补救措施”的措词太含糊,因此组织很难定义满足该法案要求的标准。
此外,由于不断出现新型攻击,因此无法在法律上规定应对特定威胁的方法。 Graham认为,保护物联网的方法无法在法律上定义,SB-327仅会增加制造智能设备的成本。
Armis产品副总裁Joe Lea
认为该法律也没有用。 他的公司正在创建一个保护物联网网络的平台。 据乔说,物联网的安全是一个复杂的行业,不仅限于设备的密码问题。
许多信息安全专家支持新法案。 大西洋理事会智囊团的安全专家博·伍兹就是其中之一。 据他说,立法中的措词含糊不清。 这将使公司能够独立制定设备保护要求。
许多专家认为,即使是不完善的法律也比没有法律更好。 网络安全作家兼密码学家布鲁斯·施耐尔(Bruce Schneier)
表示, SB-327是朝着正确方向迈出的一步,尽管该文档不足以完全规范物联网。
“法律应有助于解决未经授权访问设备的问题。 但是,这不是万灵药,” 1cloud.ru云中基础设施租赁服务开发部门负责人谢尔盖·贝尔金(Sergey Belkin) 说道 。 -独特而强大的密码应借助普通字典搜索使智能小工具的黑客行为变得复杂。 但是,还有许多其他方法可以访问设备,例如DNS重新绑定 。 这种类型的攻击影响全球超过一半的IoT设备。”
用户通常支持加利福尼亚政府的倡议。 Hacker News的居民
指出 ,制造商的密码可能太可预测且与序列号匹配。 但是,对于相同型号的所有设备,此解决方案比标准密码更好。
一些用户认为法律毫无意义。 Slashdot上的一位评论者
指出 ,大多数情况下,IoT设备的安全问题无法通过更改密码来解决,并且与固件和软件模块中的漏洞有关。 例如,2017年,在gSOAP库中
发现了一个错误,该错误已由IoT设备制造商使用。 在演示过程中,安全专家闯入了家用摄像机并从中接收了图像。
还有谁在起草物联网法律
致力于保护物联网的不仅是加利福尼亚。 在过去的一年中,有关此主题的几个项目已提交给美国国会。 其中包括2017年的《确保物联网法》和2017年的《物联网网络安全改进法》,这些法律要求联邦机构制定物联网设备的标准安全要求。
在此之前,美国政府发布了智能设备制造商指南,收集了保护用户个人数据的建议。 例如,此类
文件由联邦贸易委员会(FTC)于2015年发布。
/ Flickr / 针叶树 / CC在欧洲,也有类似的文件,特别是2016年7月通过的有关网络和信息系统安全的指令(NIS指令)。 它不直接与物联网打交道,但它为保护关键领域(能源,金融,医疗保健和运输行业)的公司系统建立了要求。 该文件仅包含规则列表,欧盟的每个州都应独立确定其实施方法。
澳大利亚政府也在
制定保护物联网设备的法律。 根据政治家的说法,他们寻求创建一个平衡的文档,该文档将保护消费者并且不限制物联网的创新。 为此,监管机构正在与行业代表进行对话。 到目前为止,政客们只是在讨论对智能设备制造商的要求。
因此,加利福尼亚州法律是第一个对所有物联网设备制造商制定通用要求的法律。 尽管这并不完美,但
人们认为该指令将成为其他国家的指南,并将开始积极开展智能小工具的安全性工作。
我们公司博客中的一些新鲜资料: