2019年4月8日 星期一

.美國將起草新一輪物聯網安全法案

What is the Internet of Things (IoT) 
and how can we secure it?



來源OFweek物联网 作者:Robert Lemos 

美國政府在連接設備,設定安全相關標準方面,公佈的最新法案較少,更多的是向國家標準與技術研究院提出建議。多年來,立法者第三次提出一項法案,要求聯邦承包商和供應商銷售的物聯網(IoT)產品遵守政府指導方針,以確保網路安全的基線。


目前的法案得到了雙方成員的支持,被稱為2019年的物聯網網路安全改進法案,它避開了具體的建議,要求美國國家標準與技術研究院(NIST),為其出售物聯網設備制訂安全指南。

該立法如果簽署成為法律,將意味著物聯網設備,將有更高的安全性,包括消費者和IoT設備商將從中受益。

最初的立法,被稱為2017年的物聯網網路安全改進法案,是在Mirai僵屍網路,針對互聯網基礎設施提供商Dyn,並於2016年10月中斷了各種其他互聯網服務之後,推出的.Mirai破壞了弱安全的數位影像錄影機和連接的攝影機,創建了一個超過100,000個端點的僵屍網路,它們對Dyn進行了一系列不利的拒絕服務(DDoS)攻擊。

該法案旨在利用政府的購買力,來激勵公司創建更安全的連接設備,參議院情報委員會副主席參議員約翰華納,該法案的共同提案國,在一份聲明中說。

雖然立法者的目的,是透過聯邦採購的力量,廣泛影響物聯網設備的安全性,但該法案本身只關注政府,對代理商為自己使用而購買的設備的要求,PTC的Corman說。如果五角大樓購買戰場系統,他們希望確保他們,不會被其他國家的軍隊攻擊。


「政府完全有權作為設備的購買者,希望讓這些產品不被駭客攻擊或追蹤,」他說。「100美元設備的製造商沒有意識到,如果由聯邦政府部署,攻擊面和威脅模型明顯不同。」

在許多方面,該立法已經遵循加利福尼亞州去年年底通過的立法中的先例,該立法要求製造商將「合理的安全特徵或功能」,納入物聯網設備。

在2018年5月關於防範僵屍網路,和自動威脅的報告中,美國國土安全部和美國商務部建議,技術和產品在其開發和製造的每個階段,都包括安全性。此外,報告認為聯邦政府應該利用其購買力,來激勵製造商創造更安全的技術。


「產品開發者,製造商和銷售商的動機是降低成本,縮短上市時間,而不是在安全建設或者提供有效的安全更新,」 報告指出。「在開發產品時,必須重新調整市場激勵措施,以促進安全性和便利性之間的更好平衡。

沒有留言:

張貼留言