這項(xiàng)法案希望透過(guò)立法為美國(guó)政府未來(lái)采購(gòu)物聯(lián)網(wǎng)裝置設(shè)下安全門坎,包括裝置必需能夠修補(bǔ),不使用固定密碼或含有任何已知漏洞、建立物聯(lián)網(wǎng)裝置的安全要件、要求國(guó)土安全部揭露漏洞予物聯(lián)網(wǎng)供貨商等等。
美國(guó)4名參議員在本周二(8/1)提出了物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改善法案( Internet of Things Cybersecurity Improvement Act of 2017),盼能促進(jìn)立法以對(duì)美國(guó)政府所購(gòu)買的IoT裝置建立安全門坎。
根據(jù)估計(jì),全球的物聯(lián)網(wǎng)裝置數(shù)量到2020年將會(huì)超過(guò)200億個(gè),這些裝置所搜集與傳遞的數(shù)據(jù)可用來(lái)造福產(chǎn)業(yè)與消費(fèi)者,但同時(shí)也會(huì)造成安全上的挑戰(zhàn),有些裝置采用固定密碼且經(jīng)常無(wú)法修補(bǔ),讓物聯(lián)網(wǎng)裝置成為安全漏洞,可能危及整個(gè)網(wǎng)絡(luò)。
近來(lái)發(fā)生的幾起安全事件都與IoT裝置有關(guān),黑客利用IoT裝置的安全漏洞建置了龐大的殭尸網(wǎng)絡(luò),針對(duì)特定網(wǎng)站、代管服務(wù)供貨商及網(wǎng)絡(luò)架構(gòu)供貨商發(fā)動(dòng)分布式阻斷服務(wù)攻擊。
參議院網(wǎng)絡(luò)安全核心小組主席之一的Mark Warner表示,雖然他們很期待物聯(lián)網(wǎng)所帶來(lái)的創(chuàng)新與生產(chǎn)力,但也一直擔(dān)心市場(chǎng)上有太多沒(méi)有適當(dāng)安全措施的IoT裝置,此一立法將替聯(lián)邦政府的IoT裝置采購(gòu)案建立完整又有彈性的準(zhǔn)則,得以補(bǔ)救明顯的市場(chǎng)失靈狀態(tài),并鼓勵(lì)制造商于產(chǎn)品安全性的互相競(jìng)爭(zhēng)。
該法案的內(nèi)容涵蓋了IoT制造商應(yīng)確保出售給政府的裝置能夠修補(bǔ),不得使用固定密碼或含有任何已知漏洞;指導(dǎo)美國(guó)行動(dòng)管理與預(yù)算局針對(duì)IoT裝置建立安全要求;指導(dǎo)國(guó)土安全部制定有關(guān)網(wǎng)絡(luò)安全漏洞揭露政策的指導(dǎo)方針予IoT供貨商;針對(duì)那些利用黑客技術(shù)尋找裝置漏洞的安全研究人員提供法律上的保障;要求每個(gè)使用IoT的部門清點(diǎn)這些裝置。
哈佛大學(xué)的Berkman Klein網(wǎng)絡(luò)暨社會(huì)研究中心共同創(chuàng)辦人Jonathan Zittrain表示,IoT裝置帶來(lái)新興的安全問(wèn)題,在購(gòu)買IoT裝置之后,這些問(wèn)題可能會(huì)持續(xù)數(shù)月或數(shù)年之久,此一法案利用聯(lián)邦采購(gòu)市場(chǎng)的勢(shì)力,而非借助直接規(guī)范制造商,來(lái)鼓勵(lì)制造商在產(chǎn)品中部署基本的安全措施,將讓所有人受益,包括非政府機(jī)關(guān)的采購(gòu)者。