美国政府在连接设备设定安全相关标准方面公布的新法案较少,更多的是向国家标准与技术研究院提出建议。 多年来,立法者第三次提出一项法案,要求联邦承包商和供应商销售的物联网(IoT)产品遵守政府指导方针,以确保网络安全的基线。
目前的法案得到了双方成员的支持,被称为2019年的物联网网络安全改进法案,它避开了具体的建议,要求美国国家标准与技术研究院(NIST)为其卖物联网设备制定安全指南。
该立法如果签署成为法律,将意味着物联网设备将有更高的安全性,包括消费者和IoT设备商将从中受益。
最初的立法被称为2017年的物联网网络安全改进法案,是在Mirai僵尸网络针对互联网基础设施提供商Dyn并于2016年10月中断了各种其他互联网服务之后推出的.Mirai破坏了弱安全的数字视频录像机和连接的摄像机,创建了一个超过100,000个端点的僵尸网络,它们对Dyn进行了一系列不利的拒绝服务(DDoS)击。
该法案旨在利用政府的购买力来激励公司创建更安全的连接设备,参议院情报委员会副主席参议员约翰华纳,该法案的共同提案国,在一份声明中说。
虽然立法者的目的是通过联邦采购的力量广泛影响物联网设备的安全性,但该法案本身只关注政府对代理商为自己使用而购买的设备的要求,PTC的Corman说。如果五角大楼购买战场系统,他们希望确保他们不会被其他国家的军队攻击。
“政府完全有权作为设备的购买者,希望让这些产品不被黑客追踪,”他说。“100美元设备的制造商没有意识到,如果由联邦政府部署,攻击面和威胁模型明显不同。”
在许多方面,该立法已经遵循加利福尼亚州去年年底通过的立法中的先例,该立法要求制造商将“合理的安全特征或功能”纳入物联网设备。
在2018年5月关于防范僵尸网络和自动威胁的报告中,美国国土安全部和美国商务部建议技术和产品在其开发和制造的每个阶段都包括安全性。此外,报告认为联邦政府应该利用其购买力来激励制造商创造更安全的技术。
“产品开发者,制造商和销售商的动机是降低成本,缩短上市时间,而不是在安全建设或者提供有效的安全更新,” 报告指出。“在开发产品时,必须重新调整市场激励措施,以促进安全性和便利性之间的更好平衡。