E安全1月10日讯,据外媒报道,近日,美国加州立法委员会颁布的《加利福尼亚州的物联网网络安全法案》(SB 327)开始实施。本来该法案是应该受到称赞的,因为它的目的在于解决网络技术领域最紧迫的问题:物联网网络的安全性问题。但是随着该法律在今年年初的正式生效,其很不幸的面临一个现实,那就是它不足以解决当今的物联网安全问题。
立法背景:物联网安全问题迫在眉睫!
在过去的2019年,围绕危险的物联网(IoT)设备引发了很多关注和争议。近日,外国媒体“Threat Post” 的相关工作人员就发布了“2019年的十大物联网灾难”,盘点过去一年中物联网行业内最糟糕的灾难性事件:
从盘点中可以看出,物联网安全问题从智能家居设备中的隐私问题发展到了僵尸网络攻击,可以说在过去的一年里物联网安全形势正朝着专家预计的糟糕方向发展!
与此同时,我国媒体于前日也报道了一起重大物联网信息泄露事件,数十万只家用摄像头遭破解,用户数据被廉价出售。据报道,不法分子通过App破解工具对全国数十万只家用摄像头进行非法控制,再将这些摄像头的账号密码、破解工具或拍摄的私密视频进行售卖,以此获取利益。目前该案件虽然已经告破,但是也让更多民众担心物联网设备的安全问题!
因此在未来的很长一段时间里,物联网安全威胁都将是全球网络安全行业关注的焦点,同时,也出现了很多要求加强建设物联网行业监管制度的声音。
加州物联网(IOT)安全法案的对与错
首先该法律的出台应该是值得肯定的,因为SB 327(俗称IOT法案)为世界各个政府向更广阔的网络安全法规跨出了良好的第一步。目前全球估计有220亿台物联网设备,预计到2025年将有750亿台物联网设备,对于如此庞大的用户群体和日益严峻的物联网安全形式,IOT法案的存在是完全有必要的。而且更值得肯定是,该法案的使用范围可以直接或间接的包括到物联网需要连接的所有设备,而不仅仅是在加州制造的设备。
但是,据网络安全研究专家表示,SB 327法案的细节未能完全支持其良好意图,因为快速发展的物联网技术超出了立法时所衡量的范围,所以对于该法案的考虑重点应该放在逐步改进上。
与此同时,该法律要解决的最重要问题应该是法律条文的含糊不清,它要求所有的连接设备都具有“合理的安全功能”,目的在于保护用户数据免遭未经授权的访问,修改或公开。而且,除了模糊的规定外,法律仅明确规定了,每个连接的设备还必须附带唯一的连线密码,否则,它必须要求用户在使用设备之前设置自己的唯一安全密码。专家表示,仅仅是这样的法律条文对于保护用户的数据安全而言是完全不够的!
如何进一步加强此IOT法案?
对于该法律的优化,相关网络安全专家也给出了意见,首先,该法律应规定所有的数据(包括静态数据和传输数据)均应受到保护或加密,它还应规定数据传输服务中的安全措施。
其次,法律应要求所有的连接设备都应具有可更新的软件和操作系统,并承诺提供频繁的更新,以便旧的漏洞不会使整个网络遭受攻击。
与此同时,为了确保某些未被包括在网络安全法规中的特定项目的发展,必须将社会民众的资金力量作为发展后盾,公司可以利用购买力来提高安全性研发。对于此过程,要求制造商从一开始就在这些设备中内置安全性系统,而不是在最后一刻进行无效地添加。
专家表示,加利福尼亚SB 327法案对于世界各国政府的物联网安全立法来说是一个不错的开始,但是进一步的立法需要结合消费者的声音来优化。
声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
