Nul
De eerste Internet of Things (IoT) security bill in de VS is goedgekeurd in Californië aan het einde van augustus en is nu aan het bureau van de Gouverneur te worden ondertekend in de wet.
Het wetsvoorstel, SB-327, werd geïntroduceerd in februari 2017 en was de eerste wetgeving van zijn soort in de VS.
Het is zelfs vooraf door bijna zes maanden het Internet van de Dingen Cybersecurity Wet Verbetering 2017, een wetsvoorstel geïntroduceerd in de AMERIKAANSE Senaat door Sen. Mark Warner [D-VA].
Maar terwijl de stof verzameld op Sen. Warner voorstel tot beveiligde IoT-apparaten in de VS, de California bill zag actieve discussies en werd goedgekeurd op de California Vergadering en de Senaat vloeren op augustus 28, en 29, respectievelijk.
Blokkeren van een sterke oppositie tegen het wetsvoorstel van de publieke of de particuliere sector, als het is ondertekend door Gov. Jerry Brown, de nieuwe wet zou in werking treden vanaf 1 januari 2020.
Ook: Nieuwe Hakai IoT botnet neemt gericht op de D-Link, Huawei, en Realtek routers
Het wetsvoorstel van de belangrijkste bepaling is dat “een fabrikant van een aangesloten apparaat dient uit te rusten van het apparaat met een redelijke zekerheid functie of functies.”
Net zoals de meeste wetgevende inspanningen van het wetsvoorstel is vrij vaag in wat “redelijke zekerheid” moet worden, maar het gaat in op de details als het gaat om het apparaat authenticatie procedures.
Volgens het wetsvoorstel is goedgekeurd tekst, “als een aangesloten apparaat is uitgerust met een middel voor authentificatie buiten een local area netwerk, wordt” de verificatie systeem moet voldoen aan één van de twee criteria.
- Als het apparaat maakt gebruik van een standaard wachtwoord, moet het wachtwoord worden uniek voor elk apparaat of Het apparaat moet vragen aan gebruikers om hun eigen wachtwoord telkens wanneer de gebruiker stelt het apparaat voor de eerste keer-criteria in de plaats gezet om te voorkomen dat fabrikanten verzending apparaten met dezelfde standaard referenties.
Ook: Wetsvoorstel dat het Witte Huis het maken van een database van APT groepen passen Huis stemmen
En dat is allemaal van de SB-327 bill. Geen enkele andere bepalingen. Slechts een zeer nauwkeurige specificatie met betrekking tot de verwerking van standaard aanmeldingsgegevens voor de IoT apparaten, en het gebruik van een generieke term “redelijke zekerheid” dat elke IoT apparaat leverancier kan interpreteren op de manier die ze willen.
Als security-onderzoeker en infosec expert Robert Graham wijst erop, dit nieuwe IoT veiligheid wet, ondanks zijn goede bedoelingen, niet bijzonder nuttig in de huidige stand van de IoT markt, en zal het niet oplossen van de problemen die pest IoT apparaten.
“Het is gebaseerd op de misvatting van de beveiliging toe te voegen functies. Het is net als een dieet, waar mensen volhouden dat je moet eten meer boerenkool, die weinig doet om het probleem te adresseren u pigging op chips,” Graham schreef gisteren in zijn analyse van het wetsvoorstel.
“De sleutel om een dieet is geen eten meer, maar minder eten. Hetzelfde geldt voor cybersecurity, waar het punt is niet toevoegen van ‘echtheidskenmerken’ maar te verwijderen ‘onveilige functies’.
“Voor IoT apparaten, dat betekent het verwijderen van het luisteren havens en cross-site/injectie problemen in web management,” Graham zei. “We willen niet willekeurige functies, zoals een firewall en anti-virus toegevoegd aan deze producten. Het zal alleen maar vergroten de aanvallen erger maken.”
“Kortom, deze wet is gebaseerd op een zeer oppervlakkig begrip van het probleem,” de onderzoeker gesloten. “Op geen enkele wijze de adressen van de echte bedreigingen, maar op hetzelfde moment, introduceert enorme kosten voor de consument en innovatie.”
Verwante Onderwerpen:
Het Internet van Dingen
Beveiliging TV
Data Management
CXO
Datacenters
0