加利福尼亚州州长杰里·布朗签署了一项涵盖“智能”设备的网络安全法,使加州成为第一个拥有此类法律的州。该法案SB-327于去年推出,并于8月底通过了州参议院。
从2020年1月1日开始,任何“直接或间接”连接到互联网的设备制造商必须为其配备“合理”的安全功能,旨在防止未经授权的访问,修改或信息泄露。如果可以使用密码在局域网外访问,则需要为每个设备提供唯一的密码,或强制用户在第一次连接时设置自己的密码。这意味着没有更多通用的默认凭据供黑客猜测。
该法案被一些人称赞为良好的第一步,同时也被其他人批评其模糊性。网络安全专家罗伯特格雷厄姆一直是其最严厉的批评者之一。他认为,通过专注于添加“好”功能而不是删除那些打开设备直至攻击的不良功能,它会导致安全问题倒退。他赞扬了密码要求,但表示它并未涵盖“可能会或可能不会被称为密码”的所有身份验证系统,这仍然可能让制造商留下那种允许毁灭性Mirai僵尸网络传播的安全漏洞。
但包括哈佛大学同事布鲁斯施奈尔在内的其他人表示,这是一个良好的开端。“这可能还远远不够,但是没有理由不通过它,”他告诉华盛顿邮报。虽然该规则仅适用于全州,但任何在加利福尼亚州销售产品的设备制造商都会将优惠转嫁给其他地方的客户。
国会已经提出了几项与物联网相关的法案,但没有一项法案进行投票。在2017年物联网网络安全改进法案将规定由政府购买的连接设备的最低安全标准。2017年的物联网消费者TIPS法案将指导联邦贸易委员会为连接设备周围的消费者开发教育资源,并且SMART IoT法案将要求商务部对该行业的状况进行研究。
领取专属 10元无门槛券
私享最新 技术干货