對于許多物聯網開發團隊而言,安全性仍然是一個愿望清單,被視為不值得在消費類產品中實施所需的成本和精力。消費者似乎不愿意為增強的網絡安全功能或為避免產品缺少此類功能而支付額外費用。但是,立法活動開始使安全性成為消費者物聯網設計的法律要求。
美國國家標準與技術研究院(NIST)的項目經理Katerina Megas在今天的IoT世界今天的IoT安全峰會上發表講話,指出要求IoT設備納入安全性的立法已經在某些州開始生效,并且正在被添加到其中。聯邦法律也是如此。Megas指出,在2020年1月,加利福尼亞州和俄勒岡州均頒布了法律,要求其所在州的聯網設備制造商為其設備配備“合理的安全功能”。此外,其他幾個州-包括伊利諾伊州,馬薩諸塞州,紐約州和弗吉尼亞州-也有類似的立法正在等待或正在考慮中。
梅加斯還指出,美國政府正在開始制定法規來強制物聯網安全。例如,美國眾議院于3月推出了HR 1668 – 2020年物聯網網絡安全改進法案。該法案要求為聯邦政府制定“標準和指南,以指導聯邦政府適當使用和管理由機構擁有或控制的并與機構擁有或控制的信息系統相連的物聯網設備,包括最低程度的信息安全性”。管理與此類設備相關的網絡安全風險的要求。” 它通過了眾議院和參議院,并于12月4日簽署成為法律;標準和指南必須在90天內發布。
要求在物聯網設備中實現安全功能的法律現已開始頒布。
盡管HR 1668僅適用于美國政府使用的物聯網系統,但它標志著網絡安全法規的開始,該法規最終還將在美國范圍內適用于工業和消費者系統。2019年,國會成立了網絡空間日光浴室委員會,以制定一項戰略方針,使美國在網絡空間中捍衛自己。該委員會的第一份報告包含80多項建議,包括50多項立法建議,以幫助實施該委員會的分層防御戰略。這些建議中的許多不僅影響政府的系統,而且也適用于工業和消費者系統。
物聯網開發團隊強烈關注三個具體建議。有人呼吁美國通過一項物聯網安全法,以強制執行“合理的安全措施”,以符合NIST的建議,例如NISTIR 8259 —物聯網設備制造商的基礎網絡安全活動。另一個建議要求建立國家網絡安全認證和標簽管理機構,以驗證物聯網設備是否符合要求。此外,該提案要求該機構將其范圍擴展到聯邦和工業物聯網系統之外,以涵蓋個人和消費電子產品。
值得關注的第三項建議有可能推翻在設計中可能存在的對實施物聯網安全性的任何經濟反對意見。該提議要求對最終貨物組裝者承擔賠償責任。如果實施,則出售的IoT設備制造商將承擔賠償責任,如果他們的設備無法防范已知漏洞。換句話說,物聯網安全性無論是否誘使消費者增加支出,都將成為一項“必備”功能。不實施安全性的風險將非常高。
到目前為止,所有這些立法所要求的“合理的安全功能”仍然只是模糊的定義。根據Megas的說法,在加利福尼亞州和俄勒岡州的法律中,“合理”的定義僅要求采取適合設備功能及其所處理信息的措施,并試圖防止他人未經授權擅自訪問,披露,使用,修改或破壞設備。該信息。未定義具體措施。
他們也不可能那樣。正如Megas在演講中所指出的那樣,NIST在推薦網絡安全措施時的指導思想是,一個規模并不適合所有規模。因此,這些法律未納入具體措施。相反,這些努力正在采取基于結果的方法。即將出臺的法律將要求物聯網設計實現網絡安全,但并未規定如何實現。這種決心仍將取決于開發團隊。但是,對物聯網安全性及其實現功能的需求正在從合理的角度發展為法律要求。
物聯網安全法要求標準
時間:2021-01-25 來源:原創
