Nul
Den første Internet of Things (IoT) sikkerhed lovforslag i USA har været godkendt i Californien i slutningen af August og er nu nået til Guvernør skrivebord til at være underskrevet i et lovforslag.
Lovforslaget, SB-327, blev introduceret i februar 2017 og blev den første lovgivning af sin art i USA.
Det endnu eksisterede ved næsten seks måneder Internet af Ting Cybersecurity Forbedring Act af 2017, et lovforslag i Senatet af Sen. Mark Warner [D-VA].
Men mens støv, der samles på Sen. Warner ‘ s forslag om at sikre IoT-enheder på tværs af USA, i Californien, bill så aktive diskussioner og blev godkendt på California Forsamling og Senatet etager August 28, og 29, hhv.
Spærring nogen stærk modstand mod lovforslaget fra den offentlige eller den private sektor, hvis der er underskrevet af Gov Jerry Brown, det nye lovforslag vil træde i kraft fra 1 januar 2020.
Også: Ny Hakai IoT-botnet tager sigte på D-Link, Huawei, og Realtek routere
Regningen vigtigste bestemmelse er, at “en producent af en tilsluttet enhed, skal udstyre enheden med en rimelig sikkerhed funktion eller funktioner.”
Ligesom de fleste lovgivningsmæssige indsats, regningen er temmelig vage i, hvad “rimelig sikkerhed” bør være, men det behøver gå i detaljer, når det kommer til enheden godkendelsesprocedurer.
Ifølge lovforslaget er godkendt tekst”, hvis en tilsluttet enhed er udstyret med en anordning til godkendelse uden et lokalt netværk,” authentication system skal opfylde et af to kriterier.
- Hvis enheden bruger en standard adgangskode, skal adgangskoden være unik for hver enhed,eller Den enhed, der skal få brugerne at oprette deres egen adgangskode, når brugeren opretter enheden for første gang –kriterier, der er indført for at undgå, at producenter forsendelse enheder med den samme standard legitimationsoplysninger.
Også: Bill, som ville have det Hvide Hus oprette en database af APT grupper passerer Hus afstemning
Og det er alle SB-327 regningen. Ingen andre bestemmelser. Kun en meget præcis specifikation vedrørende håndtering af standard legitimationsoplysninger for IoT-enheder, og brugen af en generisk betegnelse for “rimelig sikkerhed” for, at hver IoT enhed sælgeren kunne fortolke den måde, de ønsker.
Som sikkerhedsekspert og infosec orakel Robert Graham påpeger, at denne nye tingenes internet security law, på trods af de gode intentioner, ikke er særlig nyttig i forbindelse med den aktuelle tingenes internet marked, og det vil ikke løse nogen af de problemer, der plager IoT-enheder.
“Det er baseret på den fejlagtige opfattelse af at tilføje sikkerhedsfunktioner. Det er ligesom at slankekure, hvor folk insisterer på, at du skal spise mere grønkål, som betyder meget for at løse det problem, som du er pigging ud på kartoffel chips,” Graham skrev i går i sin analyse af lovforslaget.
“Nøglen til at slankekure ikke spise mere, men at spise mindre. Det samme er tilfældet for cybersikkerhed, hvor pointen er ikke at tilføje “sikkerhedsfunktioner”, men til at fjerne ‘usikre elementer”.
“For Ti enheder, der betyder at fjerne lyttende porte og cross-site/injektion spørgsmål i web management,” Graham sagde. “Vi ønsker ikke vilkårlige funktioner som firewall og anti-virus tilføjet til disse produkter. Det vil bare øge angreb overflade gør tingene værre.”
“I sammendrag, denne lovgivning er baseret på en tydeligvis overfladisk forståelse af problemet,” den forsker, der er indgået. “Det har på ingen måde løser de reelle trusler, men på samme tid, medførte store omkostninger for forbrugerne og innovation.”
Relaterede Emner:
Tingenes Internet
Sikkerhed-TV
Data Management
CXO
Datacentre
0