Noll
Den första Internet of Things (IoT) – säkerhet-lagförslaget i USA har godkänts i Kalifornien i slutet av augusti och har nu nått Guvernören skrivbord för att undertecknas i lag.
Bill, SB-327, infördes i februari 2017 och var den första lagstiftningen i sitt slag i USA.
Det är även tagit med nästan sex månader sakernas Internet It-säkerhet Förbättring Lagen av 2017, ett lagförslag i den AMERIKANSKA Senaten genom Sen. Mark Warner [D-VA].
Men medan damm som samlats på Sen. Warner förslag för att säkra IoT-enheter i USA, California bill såg aktiva diskussioner och godkändes på California Assembly och Senaten golv på augusti 28, 29, respektive.
Spärra någon stark opposition mot faktura från den offentliga eller den privata sektorn, om den undertecknas av Prop. Jerry Brown, den nya lagen skulle träda i kraft med start den 1 januari 2020.
Också: Nya Hakai IoT botnet tar fasta på D-Link, Huawei, och Realtek-routrar
Bill är den viktigaste bestämmelsen är att “en tillverkare av en ansluten enhet ska förse enheten med en rimlig säkerhet, funktion eller funktioner.”
Precis som de flesta lagstiftande insatser, bill är ganska vag i vad som är en “rimlig säkerhet” bör vara, men det behöver gå in på detaljer när det kommer till enheten behörighetskontroll.
Enligt propositionen är godkänd text, “om en ansluten enhet är utrustad med ett system för autentisering utanför ett lokalt nätverk” – autentisering måste uppfylla ett av två kriterier.
- Om enheten använder en standard lösenord, lösenordet måste vara unik för varje enhet; eller enheten får uppmana användarna att sätta upp sina egna lösenord när användaren ställer in enheten för första gången –kriterier som införts för att undvika tillverkare frakt enheter med samma standard referenser.
Också: Lagförslag som skulle ha Vita Huset och skapa en databas av APT-grupper passerar Huset omröstning
Och det är alla SB-327 bill. Inga andra bestämmelser. Bara en mycket exakt specifikation för hantering av standardreferenser för IoT-enheter, och användning av en generisk term “rimlig säkerhet” att varje IoT enhet säljaren kan tolka som de vill.
Som säkerhet forskare och infosec lärd Robert Graham påpekar, denna nya sakernas internet security law, trots sina goda intentioner, är inte särskilt användbart i de nuvarande sakernas internet marknaden, och kommer inte fixa något av de problem som plågar IoT-enheter.
“Det bygger på den felaktiga uppfattningen av att lägga säkerhetsfunktioner. Det är som att banta, där människor insisterar på att man ska äta mer kale, som gör lite för att ta itu med de problem du är pigging ut på chips,” Graham skrev igår i sin analys av propositionen.
“Nyckeln till bantning är att inte äta mer utan att äta mindre. Samma gäller för it-säkerhet, där poängen är inte att lägga till “säkerhetsfunktioner”, men att ta bort “osäkra”.
“För IoT-enheter, som innebär att man tar bort lyssnande portar och cross-site/injektion frågor i webb-management, säger Graham sade. “Vi vill inte godtyckliga funktioner som brandvägg och anti-virus till dessa produkter. Det kommer bara att öka attacken yta gör saker och ting värre.”
“Sammanfattningsvis, denna lag bygger på ett självklart ytlig förståelse av problemet,” forskaren som ingåtts. “Det på något sätt tar upp de verkliga hoten, men på samma gång innebär stora kostnader för konsumenterna och innovation.”
Relaterade Ämnen:
Sakernas Internet
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0