摘要: 这项法案希望透过立法为美国政府未来采购IoT装置设下安全门槛,包括装置必需能够修补,不使用固定密码或含有任何已知漏洞、建立IoT装置的安全要件、要求国土安全部揭露漏洞予IoT供应商等等。 美国4名参议员在本周二(8/1)提出了物联网网络安全改善法案,盼能促进立...
美国4名参议员在本周二(8/1)提出了物联网网络安全改善法案,盼能促进立法以对美国政府所购买的IoT装置建立安全门槛。
在《2017 物联网网络安全 提升法案》中, 试图利用政府的购买力,为出售给美国人民的物联网设备制定一个基本安全级别 。例如,该议案规定联邦政府的联网设备供应商,应确保设备已安装最新安全更新,不使用硬编码(静态)密码,且出售时不存在已知漏洞。
该法案的內容涵盖了IoT制造商应确保出售给政府的装置能够修补,不得使用固定密码或含有任何已知漏洞;指导美国行动管理与预算局针对IoT装置建立安全要求;指导国土安全部制定有关网络安全漏洞揭露政策的指导方针予IoT供应商;针对那些利用骇客技术寻找装置漏洞的安全研究人员提供法律上的保障;要求每个使用IoT的部门清点这些装置。
该议案由Sens.Steve Daines(R-Mont.)、Cory Gardner(R-Colo.)、Mark Warner(D-Va.)和Ron Wyden(D-Ore.)提出,为白宫的管理和预算办公室在为具备有限数据处理和软件功能的设备开发替代性网络安全需求时提供指导。此外,这需要每个执行机构列出包含全部所用联网设备的清单。
实际上,该议案的规定适用于任何接入网络传输数据的设备。在本提议中,物联网设备有非常广泛的定义,即 “具备联网能力且能正常连接网络的物理对象”以及“具备计算机处理能力,可收集、发送或接收数据”的设备。
本议案的核心提案人表示,此举已得到了数个关键的法律技术团队的支持,包括民主与技术中心(CDT)、Mozilla以及哈佛伯克曼互联网与社会研究中心的伯克利网络安全项目。
物联网发展日新月异,用户渐失掌控能力
根据估计,全球的物联网装置数量到2020年将会超过200亿个,这些装置所搜集与传递的数据可用来造福产业与消费者,但同时也会造成安全上的挑战,有些装置采用固定密码且经常无法修补,让IoT装置成为安全漏洞,可能危及整个网络。
近来发生的几起资安事件都与IoT装置有关,骇客利用IoT装置的安全漏洞建置了庞大的僵尸网络,针对特定网站、代管服务供应商及网络架构供应商发动分散式阻断服务攻击。
物联网安全威胁有
- 勒索软件(利用现有的漏洞、不安全的设计\代码、第三方开源代码、开发网络端口)
- 黑客(利用不安全的网络协议、不安全的云\应用服务、不安全的FOTA/SOTA)
- 僵尸网络DDoS攻击(简陋的身份认证\授权管理机制、不完善的密钥管理)。
参议院网络安全核心小组主席之一的Mark△Warner表示,虽然他们很期待物联网所带来的创新与生产力,但也一直担心市场上有太多没有适当安全措施的IoT装置,此一立法将替联邦政府的IoT装置采购案建立完整又有弹性的准则,得以补救明显的市场失灵状态,并鼓励制造商于产品安全性的互相竞争。
哈佛大学的Berkman△Klein网络暨社会研究中心共同创办人Jonathan△Zittrain表示,IoT装置带来新兴的安全问题,在购买IoT装置之后,这些问题可能会持续数月或数年之久,此一法案利用联邦采购市场的势力,而非借由直接规范制造商,来鼓励制造商在产品中部署基本的安全措施,将让所有人受益,包括非政府机关的采购者。
该方案还有其它两个意义,1、方案支持安全研究员对物联网安全的研究,避免法律不正当的处罚研究员;2、有可能发布网络安全漏洞披露指导原则,用于约束向美国政府提供联网设备的承包商。