物联网网络安全改进法案将要求设备制造商在与政府的合同中满足的新安全标准。但预期对私营部门有延滞效应。
随着世界走向万物互联,在众所周知的物联网(IoT)界,设备制造商优先考虑的是上市速度和价格,而不是安全。根据诺基亚最新的威胁情报报告,在所有移动和Wi-Fi网络感染事件中,物联网设备几乎占了三分之一。
随着物联网设备数量的持续增长,该比率可能会急剧上升。Fortinet的最新报告警告说,边缘设备的快速引入将为更高级的威胁创造机会,使复杂的攻击者和高级恶意软件“使用新的EATs(边缘访问木马)发现更有价值的数据和趋势,并执行诸如拦截来自本地网络的请求,以破坏其他系统或注入其他攻击的命令。”
今年9月,众议院通过了《物联网网络安全改进法案》,并于上周获得参议院的一致通过,这是朝着防范这些威胁、为物联网设备提供更大安全性迈出的一步。该法案已提交给特朗普总统,预计他将签署该法案使之成为法律。
用该法案的最初提案人之一国会女议员罗宾·凯利(D-IL)的话说,该法案的目的是“确保美国政府购买安全的设备并消除现有的漏洞,以保护我们的国家安全和美国家庭的个人信息。” 它旨在为联邦政府制定“标准和指南”,并希望这些要求也能进入私营部门的制造。
NIST将在90天内发布IoT安全标准
该法案预计这些标准和指南将“在行政部门,行业和学术界的机构内部和机构之间合作开发”,并根据美国国家标准与技术研究院(NIST)跨部门内部报告NISTIR 8259的第二稿对IoT进行定义。8259最初于2020年1月发布,然后于7月修订。与NIST定义一致,物联网设备必须:
• 具有至少一个与物理世界直接交互的传感器或执行器,具有至少一个网络接口,并且不是已经识别和实现网络安全功能的常规信息技术设备,例如智能手机和笔记本电脑,对于这些设备,网络安全特性的识别和实施已被充分理解。
• 可以独立工作,不能只在作为另一个设备(如处理器)的一个组件时工作。
根据该法案,法律要求NIST的主管在制定法规的90天内针对各机构对IoT设备的正确使用和管理发布联邦政府的标准,包括管理与此类设备相关的网络安全风险的最低信息安全要求。这些标准和指南必须与NIST在物联网设备方面的现有工作相兼容,并且必须包含身份管理、补丁和配置管理。
NIST发布标准六个月后,管理和预算办公室(OMB)主任将在与国土安全部(DHS)的网络安全和基础设施安全局(CISA)主任协商后,审查NIST发布的标准。行政管理和预算局发布的任何与该法案相关的政策都不适用于涉及情报、军事或武器系统的电信或信息系统。管理和预算办公室(OMB)还将负责在NIST总监审查物联网标准和指导方针时更新任何政策或原则,该法案规定应每五年更新一次。
该法案还要求NIST主管与行业和学术界进行磋商,在180天内制定指导方针,以报告,协调,发布和接收有关IoT设备中安全漏洞的信息。NIST主任还将负责报告此类漏洞并传播有关这些漏洞的信息。
最后,在法案通过后的每两年,美国审计长将向相关的参众两院委员会提交非机密报告,报告该法案中设立的豁免程序,该程序允许管理和预算局(OMB)发布对该法案规定的豁免。该法案实施一年后,总审计长将向委员会介绍更广泛的物联网工作,并每两年提交一次报告。
网络空间日晷委员会(Cyberspace Solarium Commission)设想的立法
这项立法的成功通过,以及在立法者中获得的压倒性支持,在很大程度上要归功于网络空间日晷委员会,这是一个两院制的、两党合作的公私合作倡议,旨在解决一些更棘手的数字安全问题。今年5月,该委员会发布了一份关于“从大流行中获得的网络安全教训”的白皮书,建议国会通过一项物联网安全法。
该论文认为,法律应该像《物联网网络安全改进法案》(IoT Cybersecurity Improvement Act)一样,只具有最低限度的规范性。论文主张,“法律应该关注已知的挑战,比如Wi-Fi路由器的不安全,并要求这些设备采取合理的安全措施,例如美国国家标准技术研究院“针对物联网设备制造商的建议”中概述的内容。
委员会最初提出的一组建议并未具体提及物联网设备。该委员会研究和分析主管罗伯特·莫格斯(Robert Morgus)在6月介绍物联网立法建议时说,这场大流行使人们意识到,人们在家中使用的大量设备极大地扩展了美国的数字攻击面。“我们在谈论此问题时希望具有最低限度的规范性,因此我们寻求真正的基准要求和建议,例如确保默认情况下内置唯一身份验证,当IoT设备首次连接到网络时,要求用户必须输入新的身份验证用户ID和密码,并确保设备可修补。”(本文出自SCA安全通信联盟,转载请注明出处。)