前言:虽然《加利福尼亚州物联网安全法》已经生效,但是多数人怀疑,一个简单的身份验证修复程序对大多数设备来说是否足够?或者公司是否需要遵循更严格的标准?
《加利福尼亚州物联网安全法》(California's Internet of Things)于2020年1月1日生效,要求制造商为设备配备法律中规定“合理的安全功能”。这意味着制造物联网设备的公司(从Internet路由器到连网的恒温器再到家庭监控摄像头等)需要遵循执行已生效的加利福尼亚物联网(IoT)安全法。
加利福尼亚州(以下简称加州)的参议院第327号法案(即《加利福尼亚州物联网安全法》)是2018年9月28日获得州长批准的,该法案要求在该州出售的所有联网设备(无论在哪里生产)都必须配备法律中规定“合理的安全功能”,以保护用户的安全,避免未经授权访问、修改或泄露的产品和用户数据。同时,法律规定不允许使用单一密码硬编码(在代码中直接写明文密码的方式),并且每个设备必须具有唯一的密码,或者要求用户在首次使用该设备之前需要修改默认密码为新的密码。
加利福尼亚州的参议院第327号法案内容
莫里森与福斯特律师事务所(Morrison & Foerster)隐私事务合伙人克里斯汀•里昂(Christine Lyon)表示,法律是以书面的方式,确保设备遵循该指南。
她说:“法律只适用于认证。这似乎足够了,但是我怀疑随着时间的推移,我们将看到关于安全功能所需的更多具体规范。”
一位律师说,建立强大的身份验证机制只是必需的功能之一。
贝克豪斯特勒律师事务所(BakerHostetler)隐私和数据保护合伙人丹•佩珀(Dan Pepper)表示,2016年《加州违规报告》(打开“SCA联盟官网-资料下载”可查看报告原文)暗示了“合理安全”的指南。将互联网安全中用于有效网络防御的关键安全控制标记为充分安全的“底线”。
他说:“该法律为公司提供了灵活性。但是,如果您所要做的只是执行身份验证步骤,而没有对更新补丁、加密或第三方组件进行任何操作,那么您将无法实现合规。身份验证只是一个具体示例。”
也有律师说,这种混乱导致许多公司根据法规衡量是否存在任何风险,并等待进一步的指导。法律没有赋予消费者私人诉讼的权利,只有政府才能依法对公司进行调查或处罚,这是公司评估其风险的另一个考虑因素。
根据律师的说法,虽然法律要求的安全性看起来像是一小步,但受立法影响的设备数量却很大。
丹•佩珀(Dan Pepper)还表示,法律文本并未指定设备的类型,但该法律可能适用于“连网的设备”一词涵盖的一长串硬件,包括打印机和安全摄像头,智能灯泡和Apple Watch等产品。
他说:“很多不同类型的设备都受到了影响。”加州法律并不是针对连网设备安全性的唯一立法。预计将有250亿台设备成为全球物联网领域的一部分,立法者正在对物联网制造商进行越来越严格的审查。由SCA安全通信联盟牵头制定的全球物联网产品信息安全技术国际标准——《IoT Protection Profile》(《物联网信息安全国际技术规范》)包含安全芯片和安全通信模块两部分,其中《IoT Secure Communication Protection Profile》(《物联网安全芯片技术规范》)现已正式全球发布(点击即可下载)。
2019年3月美国立法者向国会提出了一项两党法案,该法案将要求向政府出售设备的物联网制造商遵守美国国家标准与技术研究院(National Institute of Standards and Technology)制定的指导方针。该法案被称为《2019年物联网网络安全改进法案》(the Internet of Things Cybersecurity Improvement Act of 2019),是联邦立法第三次要求联网设备制造商采取安全措施。自2017年以来,美国国会每年都会提交一份监管物联网安全的法案。
克里斯汀•里昂(Christine Lyon)表示,因为加州的法律适用于在该州销售给消费者的任何设备,而且制造产品的类型非常多,因此该法律的影响可能是全国性的。
她说:“因为法律的要求并不繁重,也因为为加州市场单独创造一个特殊版本的产品很耗时,所以公司可能会在所有产品上实施这些改变。”
结合《加州消费者隐私法案》(CCPA),该法律将对公司的隐私和数据安全性赋予新的责任和限制。
Tomaschek是ProPrivacy.com的数据隐私倡导者,他在一份声明中说:“CCPA的颁布将成为不仅在加州,而且在整个美国的数据隐私的分水岭。由于全国乃至全球范围内任何服务于加州消费者的适用企业都将被要求遵守法律,因此很多公司都在加紧实现合规。”
更多物联网安全资讯尽请关注“奥航智讯”微信公众号。打开“SCA联盟官网-资料下载”可查看2016年《加州违规报告》原文
原文链接:
https://www.darkreading.com/iot/californias-iot-security-law-causing-confusion/d/d-id/1335863