美国政府终于认真对待物联网安全问题
新立法将是全世界IoT设备的福音
美国政府是IoT产品的大客户,甚至超乎人们的想象。例如,退伍军人事务部(Veterans Affairs)为其医院购买可连接的IV泵,而环境保护局则购买水传感器用来测量水污染。
为了保护所有这些设备的潜在价值数据不被黑客攻击,美国于去年12月通过了一项精心设计的网络安全法规。《2020年物联网网络安全改进法案》,该法案不但为美国提供了一个优秀的物联网安全框架,还将影响全世界的物联网安全。
大多数IoT公司不会投入资源来开发单独的产品线–一条符合美国政府安全要求的产品线和一条不符合美国政府安全要求的产品线。也很难想象为什么其他客户会选择安全性较低的选项,特别是当法律要求的许多安全要求在所有行业都广泛有用的时候。因此,虽然法律只规定了美国政府可以购买的物联网设备,但随着企业在政府和非政府物联网部署中使用相同的安全设备,我们会看到连锁反应。
那么,这个法律有什么可取之处呢?事实证明,有两点。
首先,该法律并没有把重点放在通过规定密码要求或加密标准来保护单个设备的安全,这两者都需要不断发展。相反,它依靠美国国家标准技术研究所(NIST)制定了许多政府机构在购买联网设备时必须遵守的要求。这些政策将整体安全拆分为几个部分,要求对设备、云和通信安全做出具体规定。
NIST的初始规则包括当今的最佳实践,例如拥有OTA设备更新程序,每个设备的唯一ID(以便在网络上被标识),以及授权用户更改与访问和安全性相关的功能的方法。这些建议还包括记录IoT设备或其相关应用程序所采取的操作,并明确地向用户传达设备安全的详细信息。
其次,该法律要求NIST每五年对联网设备的网络安全最佳实践进行评估,从而保持了适应性和灵活性。黑客从本质上讲也具备适应性和灵活性,因此预防黑客攻击同样需要具备适应性的法规。例如,购买具备OTA软件更新的物联网设备,可以修补任何新发现的漏洞。
遗憾的是,该法律并不严密。虽然它禁止政府机构购买不符合安全要求的设备,但它确实为国家安全或研究所需的设备以及使用有效替代方法保护的任何设备保留了豁免程序。
这不得不让人担心美国政府机构可能会滥用豁免程序。作为一个国家,美国倾向于将很多日常活动纳入国家安全范畴,这意味着政府机构容易提出他们不需要遵守NIST要求的理由。
同样令人担忧的是法律的漏洞,即免除了使用 “替代和有效方法 “保护的设备。法律没有说明由哪个机构来评估这些替代方法的效力,也没有说明如何进行评估。
尽管存在这些漏洞,但不得不令人觉得,制造商已经意识到在现场使用不安全设备所花费的成本,因此他将遵守一套解释如何保护和更新这些设备的规则。此外,大多数物联网公司不会冒着因为不符合NIST的标准而失去美国政府这个潜在客户的风险,这可能会让他们付出更多的代价。