评估
权衡你正在考虑的技术、产品和项目的利弊。
物联网网络安全改进法案:Kick启动了隐私标准,但企业应该做得更多
物联网需要标准化和更好的安全措施,美国政府最近采取了强制措施。
《2017年物联网网络安全改进法案》拟议中的法案将要求联邦政府购买的所有设备都要符合一定的最低网络安全标准。的提出了安全标准提案的提出是一个良好的开端,但它们应该被视为物联网供应商的最低要求。
去年,安全摄像头、数字视频记录和婴儿监视器等日常连接设备遭到了严重的网络攻击。特别是在五月,一股ransomware叫WannaCry传播到世界各地,打击了数以十万计的目标,包括公共设施、医院和大公司。今年8月,马士基宣布,网络攻击的影响可能会使其今年第三季度的利润损失高达3亿美元。
为了改善对此类攻击的保护,《物联网网络安全改进法案》建立了常识物联网安全标准供政府供应商使用,包括:
- 禁止在物联网设备中使用硬编码密码。消除固定密码要求供应商提供一种更改密码的机制,并要求设备没有通用的默认密码。
- 在与物联网设备之间的通信、在物联网设备及其连接的服务器中存储收集的数据以及更新物联网设备的安全手段方面,需要行业标准的加密。
- 证明物联网设备中没有已知的漏洞。如果在购买后发现漏洞,供应商必须通知客户,修补漏洞和/或修复或更换设备。
- 使用物联网设备的政府机构必须维护设备的准确清单。
额外的好处
此外,《物联网网络安全改进法》对电脑欺诈和滥用法案和数字千年版权法这为安全研究增加了一个狭窄的例外。此变更注意到,这些现有法规的刑事和民事处罚不适用于对政府购买的设备类型进行的研究,这些设备是出于善意并以符合政府设定标准的方式进行的。从历史上看,政府和制造商都曾依靠这些现有的法律来封锁他们觉得尴尬的安全工作。
尽管该法案中提出的安全要求是任何物联网设备供应商的实践应该坚持它将为物联网以外更高的安全标准铺平道路。与类似形式的立法一样,它的连锁反应也将延伸到政府领域以外的所有行业和消费者。最终,这些拟议中的变化是为更安全、更互联的世界奠定基础的一步。
所有IoT Agenda网络贡献者都对其帖子的内容和准确性负责。意见是作者的,不一定传达物联网议程的想法。