合理的安全功能?令業界困惑的加州物聯網安全法
作者:星期二, 十月 8, 20190

該法律將于明年 1 月 1 日生效,要求制造商為設備配備 “合理的安全功能”——這具體包含什么功能仍然是一個懸而未決的問題。

律師們在本周表示,生產聯網設備的公司(從 Internet 路由器到聯網恒溫器,再到家庭監控攝像頭)需要開始為將于 2020 年 1 月 1 日生效的加利福尼亞《物聯網安全法》 (California’s Internet of Things) 做準備。

問題在于,對于大多數設備來說一個簡單的身份驗證是否足夠,還是公司需要遵循更嚴格的標準。

加利福尼亞州的《參議院第327號法案》于一年前獲得州長的批準,該法案要求在該州售賣的所有聯網設備(無論在何處制造)都必須具備 “合理的安全功能或者是其他功能”,能夠適當?;げ酚沒б約壩沒У氖菝庠馕淳諶ǖ姆夢?、修改、或披露。該法律規定,不允許使用單一硬編碼密碼,而且每臺設備必須具有唯一密碼,或者要求用戶在首次使用該設備前設置一個新密碼。

Morrison & Foerster 隱私業務合伙人 Christine Lyon 表示,按照法律條文,確保設備符合該條款要就應該就可以了。

這項法律只針對身份認證。這似乎已經足夠了,但我懷疑隨著時間的推移,我們會看到更多圍繞安全特性的明確規定。

然而另一位律師認為,建立一個強大的認證機制只是必需的功能之一。律師事務所 BakerHostetler 的隱私與數據?;ず匣鍶?Dan Pepper 表示,2016 年加利福尼亞的一次違規報告暗示了 “合理的安全性” 都包含什么,該報告認為互聯網安全中心的 “有效網絡防御的關鍵安全控制” 是提供足夠安全保障的底線。

這項法律為企業提供了靈活性,但如果你只是實施身份認證,而沒有進行更新或補丁、加密或第三方組件方面的工作,那么你就無法滿足要求。認證只是一個具體示例。

律師們表示這種困惑導致很多公司在評估保持現狀是否有風險,是否要等待進一步的指示。法律沒有賦予消費者私人訴訟權。只有政府才能依法對公司進行調查或處罰,這是公司在評估風險時需要考慮的另一個因素。

根據律師的說法,雖然法律所要求的安全性看起來只是邁出了一小步,但受立法影響的設備數量卻相當多。Pepper 表示,法律條文沒有具體規定設備的類型,但該法律可能適用于 “聯網設備” 一詞所涵蓋的一系列硬件,包括打印機和安全攝像頭、智能燈泡和 Apple Watch 等產品。

他表示,有很多不同類型的設備都受到了影響。

加州法律并不是唯一一個針對聯網設備安全的立法。隨著 250 億臺設備預計成為全球物聯網的一部分,為了提高安全性,立法者對物聯網制造商的審查越來越嚴格。

3 月的時候,美國議員向國會提交了一項兩黨法案,要求向政府銷售設備的物聯網制造商遵守美國國家標準與技術研究院 (National Institute of Standards and Technology) 制定的準則。該法案被稱為《2019年物聯網網絡安全改進法案》(the Internet of Things Cybersecurity Improvement Act of 2019),是聯邦立法第三次要求聯網設備制造商采取安全措施。自 2017 年以來,每年議員都會向國會提出一項監管物聯網安全的法案。

Morrison & Foerster 的 Lyon 表示,由于該加州法律適用于在州內銷售給消費者的任何設備,而且制造過多不同類型的產品成本高昂,因此該法律的影響可能是全國性的。她表示:由于法律的要求并不苛刻,而且僅為加州市場開發一種特殊版本的產品非常耗時,企業可能會在所有產品上實現這些變化。

結合《加州消費者隱私法案》 (CCPA),該法律將對公司的隱私和數據安全施加新的責任和限制。ProPrivacy.com 的數據隱私倡導者 Attila Tomasche在一份聲明中說道:

CCPA 的頒布將是數據隱私的分水嶺,不僅在加州,而且是在整個美國。由于在全國乃至全球范圍內為加州消費者提供服務的相關業務都將被要求遵守法律,各公司很可能都在加快合規步伐。

加州法律明確不要求設備零售商和銷售商需要確保遵守法律。該法律也在避免因此催生反修復議案,指出法律不要求設備需要具備 “防止用戶完全控制一個聯網設備,包括篡改用戶設備上運行的軟件或固件的能力” 的功能。

此外,執法部門保留從制造商那里收集設備信息的權利。

相關閱讀

 

無處可藏:物聯網帶來的9種新型黑客攻擊

4個月泄露2億多條信息 這就是不安全的物聯網

令人失望:物聯網供應商無視基本的安全最佳實踐

 

 

 

相關文章

寫一條評論

 

 

0條評論