一、加州:率先出台物联网安全法
美国加利福尼亚州高科技产业云集,网络相关法律的出台对其影响深远。今年6月,杰里·布朗曾签署“美国最严厉的”《加州消费者隐私法案》(AB-375)。该法案同样将于2020年1月1日生效,其具体规则堪比欧盟的《一般数据保护条例》(GDPR)。
而此次出台的《联网设备安全法案》,针对物联网设备生产商制定了原则性规范,同时引起了多种看法。部分媒体认为,该法案含糊不清,远不足以发挥保护作用。其他则认为,该法案可以引起对物联网安全问题的关注。
二、规定联网设备应具备安全特性
该法案规定,联网设备(Connected device)是指任何分配了互联网协议地址或蓝牙地址,可以直接或间接地连入互联网的物件。法案要求生产商为其生产的联网设备配备至少一种 “可靠的安全性”(reasonable security feature)。“可靠的安全性”是指设备必要的特性和功能,该特性或功能应与所收集、保存或传输的信息相匹配,要求保护设备自身安全并且防止其中的信息被未授权访问、损毁、使用、篡改或泄露。
此外,如果为联网设备设计验证措施作为其安全特性,需满足以下条件之一,才可被认为是“可靠的安全特性”:(1)每台设备的出厂密码是独一无二的;(2)在首次授权用户访问设备时,要求用户创建新的验证措施。
三、物联网安全问题有待重视
2016年美国爆发Mirai病毒事件,引发了产业界和公众对物联网安全问题的关注。其变种至今仍然在威胁着全球各种新生产的联网设备的安全。而与相对成熟的计算机系统相比,许多新型物联网设备在网络攻击面前更脆弱。
2017年8月,美国国会参议员马克·华纳(Mark Warner)、罗恩·维登(Ron Wyden)、史蒂夫·戴恩斯(Steve Daines)、科里·加德纳(Cory Gardner)曾提案《物联网网络安全改进法》,希望通过设定联邦政府采购物联网设备安全标准,来改善美国政府所面临的物联网安全问题。但该法案至今尚未进入投票阶段,实际上,现有的计算机网络安全相关的法律和政策仍然发挥主要作用。
本文由赛博研究院出品,转载请注明:本文来源于赛博研究院官网。
更多精彩内容请关注“赛博研究院”公众号。