IOT设计的安全性正在成为法律要求万博投注网址
文章作者:Richard Quinnell
立法活动开始使安全成为消费者物联网设计的法律要求。万博投注网址
对于许多IOT开发团队,安全性仍然是一个愿望清单项目,不值得在消费产品中实施所需的成本和努力。消费者似乎不愿意为增强的网络安全功能支付额外费用,或避免产品缺乏此类功能。但是,立法活动正在开始为消费者物联网设计提供安全性的法律要求。万博投注网址
今天在IoT世界演讲IOT安全峰会,美国国家标准与技术研究所的方案经理(NIST)卡捷琳娜·梅加斯指出,一些州已经立法要求物联网设备纳入安全措施,并且正在被添加到联邦法律中。Megas指出,2020年1月,加州和俄勒冈州都颁布了法律,要求各自州的联网设备制造商为其设备配备“合理的安全功能”。此外,其他几个州——包括伊利诺斯州、马萨诸塞州、纽约州和弗吉尼亚州——也在等待或考虑类似的立法。
Megas还指出,美国政府正开始制定强制物联网安全的立法。例如,美国众议院提出第1668号决议- 2020年物联网网络安全改进法案三月。该法案要求建立“联邦政府的标准和准则,通过代理机构拥有或控制的东西设备互联网和管理的适当使用和管理,并与机构拥有或控制的信息系统,包括最低信息安全管理与此类设备相关的网络安全风险的要求。“它通过了房子和参议院,并于12月4日签署了法律;标准和指南必须在90天内发布。
要求在物联网设备中实施安全特性的法律现在开始颁布。
虽然H.R. 1668只适用于美国政府使用的物联网系统,但它标志着网络安全法规的开始,最终也将适用于整个美国的工业和消费系统。2019年,国会设立了网络空间日光浴室佣金制定美国在网络空间自卫的战略方针。该委员会的第一份报告包含了80多项建议,其中包括50多项立法提案帮助实施委员会的分层防御战略。这些提案中的许多不仅影响政府的系统,它们也适用于工业和消费系统。
三个具体提案从物联网开发团队的急剧关注。一个人呼吁美国通过了与NIST推荐对齐的“合理的安全措施”,如NISTIR 8259 -物联网设备制造商的基础网络安全活动。另一项提案要求建立国家网络安全认证和标签机构,这将验证IOT设备是否遵守要求。此外,该提案要求该权限扩大其超越联邦和工业物联网系统的范围,以包括个人和消费电子产品。
值得注意的第三个建议有可能克服任何经济上的反对意见,在设计中实现物联网安全。这项建议要求确定最后货物装配者的责任。如果实施,出售的物联网设备制造商将对其设备未能防范已知漏洞造成的损害承担责任。换句话说,物联网安全将成为一项“必备”功能,不管它是否能吸引消费者增加支出。不实现安全性的风险将非常高。
所有这些立法所要求的“合理的安全特征”至今仍只是模糊的定义。根据Megas的说法,在加州和俄勒冈州的法律中,“合理”的定义只是要求采取与设备的功能和它所处理的信息相适应的措施,并设法防止未经授权的访问、披露、使用、修改或破坏这些信息。具体措施没有定义。
也不太可能。正如Megas在演讲中指出的,NIST在推荐网络安全措施时的指导思想是一种方法并不适合所有人。因此,具体措施并没有被编入这些法律。相反,这些努力采取的是基于结果的方法。即将出台的法律将要求物联网设计实现网络安全,但不会具体说明如何实现这一点。万博投注网址这个决定仍然取决于开发团队。但对物联网安全的需求及其实施的功能,正从良好的意识演变为法律要求。
本文最初发表于edn.。
丰富的Quinnell.是一个退休的工程师和作家,以及Edn的前任主编。
相关文章: