E安全1月10日訊,據外媒報導,近日,美國加州立法委員會頒布的《加利福尼亞州的物聯網網絡安全法案》(SB 327)開始實施。本來該法案是應該受到稱讚的,因為它的目的在於解決網絡技術領域最緊迫的問題:物聯網網絡的安全性問題。但是隨著該法律在今年年初的正式生效,其很不幸的面臨一個現實,那就是它不足以解決當今的物聯網安全問題。
立法背景:物聯網安全問題迫在眉睫!
在過去的2019年,圍繞危險的物聯網(IoT)設備引發了很多關注和爭議。近日,外國媒體「Threat Post」 的相關工作人員就發布了「2019年的十大物聯網災難」,盤點過去一年中物聯網行業內最糟糕的災難性事件:
從盤點中可以看出,物聯網安全問題從智能家居設備中的隱私問題發展到了殭屍網絡攻擊,可以說在過去的一年裡物聯網安全形勢正朝著專家預計的糟糕方向發展!
與此同時,我國媒體於前日也報導了一起重大物聯網信息泄露事件,數十萬隻家用攝像頭遭破解,用戶數據被廉價出售。據報導,不法分子通過App破解工具對全國數十萬隻家用攝像頭進行非法控制,再將這些攝像頭的帳號密碼、破解工具或拍攝的私密視頻進行售賣,以此獲取利益。目前該案件雖然已經告破,但是也讓更多民眾擔心物聯網設備的安全問題!
因此在未來的很長一段時間裡,物聯網安全威脅都將是全球網絡安全行業關注的焦點,同時,也出現了很多要求加強建設物聯網行業監管制度的聲音。
加州物聯網(IOT)安全法案的 對與錯
首先該法律的出台應該是值得肯定的,因為SB 327(俗稱IOT法案)為世界各個政府向更廣闊的網絡安全法規跨出了良好的第一步。目前全球估計有220億台物聯網設備,預計到2025年將有750億台物聯網設備,對於如此龐大的用戶群體和日益嚴峻的物聯網安全形式,IOT法案的存在是完全有必要的。而且更值得肯定是,該法案的使用範圍可以直接或間接的包括到物聯網需要連接的所有設備,而不僅僅是在加州製造的設備。
但是,據網絡安全研究專家表示,SB 327法案的細節未能完全支持其良好意圖,因為快速發展的物聯網技術超出了立法時所衡量的範圍,所以對於該法案的考慮重點應該放在逐步改進上。
與此同時,該法律要解決的最重要問題應該是法律條文的含糊不清,它要求所有的連接設備都具有「合理的安全功能」,目的在於保護用戶數據免遭未經授權的訪問,修改或公開。而且,除了模糊的規定外,法律僅明確規定了,每個連接的設備還必須附帶唯一的連線密碼,否則,它必須要求用戶在使用設備之前設置自己的唯一安全密碼。專家表示,僅僅是這樣的法律條文對於保護用戶的數據安全而言是完全不夠的!
如何進一步加強此IOT法案?
對於該法律的優化,相關網絡安全專家也給出了意見,首先,該法律應規定所有的數據(包括靜態數據和傳輸數據)均應受到保護或加密,它還應規定數據傳輸服務中的安全措施。
其次,法律應要求所有的連接設備都應具有可更新的軟體和作業系統,並承諾提供頻繁的更新,以便舊的漏洞不會使整個網絡遭受攻擊。
與此同時,為了確保某些未被包括在網絡安全法規中的特定項目的發展,必須將社會民眾的資金力量作為發展後盾,公司可以利用購買力來提高安全性研發。對於此過程,要求製造商從一開始就在這些設備中內置安全性系統,而不是在最後一刻進行無效地添加。
專家表示,加利福尼亞SB 327法案對於世界各國政府的物聯網安全立法來說是一個不錯的開始,但是進一步的立法需要結合消費者的聲音來優化。