还有不到一个月的时间,全球首部物联网安全法将在美国加利福尼亚州启动实施。由于在技术标准的生命周期早期没有充分考虑信息安全问题,以及产品技术和产业的高度碎片化,物联网IoT安全问题显得尤为棘手。对于全球物联网产业和监管部门来说,加州物联网安全法赢得了极大的关注度,但遗憾的是,该法律尚未实施就已经暴露出不少潜在问题。
今年9月,加利福尼亚州州长杰里·布朗(Jerry Brown)签署了一项旨在规范IoT设备安全性的新法案,该法案将于2020年1月1日正式生效。
加州物联网安全法律的初衷是更好地解决“万物互联”给工作场所带来的风险,但研读该法规条文后,给笔者带来的问题反而多于答案,但无论是经验还是教训,加州物联网法对于物联网安全专业人士来说,都值得花些时间了解。
首先,加州物联网法中,对于“合理的安全功能”缺乏明确定义和指导,这使得相关企业和机构组织的合规工作变得很困难。
在下文中,我们将探讨加州物联网法的留下的“安全死角”:
加州物联网安全法覆盖设备范围定义存疑
该法案将联网设备定义为:“能够直接或间接连接到互联网并被分配了IP地址或蓝牙地址的任何设备或其他物理对象”。对于安全团队中试图确定设备是否符合其公司安全策略的人,该定义可能会出现问题。联网设备包括从计算机到恒温器、复印机和员工个人健身追踪器在内的所有设备。更重要的是,Gartner 预测联网设备的数量将持续增长,到明年数量将高达204亿个,而根据Juniper Research的预测,未来几年物联网设备数量年增长率高达140%,到2022年,联网设备数量将接近500亿。
毫无疑问,物联网设备给全球企业带来高安全风险正在不断累积,同时数量和规模也在不断膨胀,企业迫切需要更加明确不同设备所应给予的不同的安全关注优先级。(参考阅读:提高物联网安全和可见度的七种工具)
什么才是“合理的”物联网安全功能?
根据新法律,将合理的安全性功能概述为“与设备的性质和功能相适应,同时与设备所收集、承载或传输的信息相适应,并旨在防止对设备及其中所包含的任何信息的未经授权的访问、破坏、使用、修改或披露。”
此外,来自美国国家律师事务所BakerHostetler的Daniel Pepper 指出:
如果设备要在局域网外部进行身份验证,则法律明确规定“合理的安全性”意味着设备应包含唯一的预编程密码,或要求在授予用户初始访问权限之前采用新的身份验证手段。这种要求超出了先前的FTC执法行动所提供的指导,该行动已认识到默认设置带来的漏洞,给出“合理的”初始密码管理指导建议。 |
换句话说,加州物联网安全法对身份验证和密码管理提出了更高的要求。但是根据2016年2月加州司法部发布的《加州数据泄露报告》,该法案将CIS关键安全控制作为“合理”物网络安全的“基础”。然而,CIS 20并非专门针对物联网设备,而且,某些CIS控件在物联网设备上的应用没有任何意义。
因此,2016年的报告和法规与即将实施的加州物联网新法规的叠加,可能会导致企业产生困惑,例如企业不知道物联网设备上的电子邮件和Web浏览器的安全防护到底应该怎么做?操作智能冰箱或其他智能设备是否需要安全意识和培训计划?等等。
违规认定和处罚难
正如前文所述,加州物联网安全法最大的失误是采用了并非针对物联网设备的设备安全控制规范。对于任何担心违规的公司而言,好消息是该法律禁止私人团体根据加利福尼亚州法律提起诉讼。相反,执法权被“专门”授予加利福尼亚州检察长,市检察官,县法律顾问和地方检察官。
此外,该法规的条文中甚至没有具体说明现有的处罚类型,最高处罚,以及或检方如何认定违法行为。总而言之,不仅对违规企业的处罚缺乏明确依据,甚至企业违规的认定都是一个问题。
正如我在开始时提到的那样,加州物联网安全法是第一部得以实施的物联网安全法规,但绝不会是最后一部。随着物联网安全风险不断累积,全球各地相关法规也将随之出台,而加州物联网安全法的不足和缺陷,可以为后来者提供更多经验和教训。