美国政府发布的新法案较少,为联网设备制定安全相关标准,更多的是向美国国家标准与技术研究院提出建议。立法者多年来第三次提出一项法案,要求联邦承包商和销售物联网(IoT)产品的供应商遵守政府指导方针,以确保网络安全的基线。目前的法案得到双方成员的支持,被称为2019年物联网网络安全改进法案,它回避了要求美国国家标准与技术研究院(NIST)制定销售物联网设备的安全措施的具体提案。指导。该立法如果签署成为法律,将意味着物联网设备的安全性更高,消费者和物联网设备制造商都将从中受益。最初的立法被称为2017年物联网网络安全改进法案,是在Mirai僵尸网络以互联网基础设施提供商Dyn为目标并于2016年10月破坏其他各种互联网服务之后出台的。超过100,000个端点的僵尸网络对Dyn进行了一系列不利的拒绝服务(DDoS)攻击。参议院情报委员会副主席兼该法案的共同发起人参议员约翰华纳在一份声明中表示,该法案旨在利用政府的购买力来激励公司创造更安全的连接设备。PTC的Corman说,虽然立法者旨在通过联邦采购的权力广泛影响物联网设备的安全性,但该法案本身只关注政府对机构购买供自己使用的设备的要求。如果五角大楼购买战场系统,他们希望确保它们不会受到其他国家军队的攻击。他说:“政府完全有权利购买那些想让黑客无法追踪的设备。”“100美元设备的制造商没有意识到,如果由联邦政府部署,攻击面和威胁模型会有很大不同。”在许多方面,该立法已经遵循了加州去年年底通过的立法的先例,该立法要求制造商将“合理的安全特性或功能”纳入物联网设备。在2018年5月一份关于防范僵尸网络和自动威胁的报告中,美国国土安全部和美国商务部建议技术和产品在其开发和制造的每个阶段都包括安全性。此外,该报告认为,联邦政府应该利用其购买力来激励制造商创造更安全的技术。“产品开发商、制造商和销售商的动机是降低成本和缩短上市时间,而不是建立安全性或提供有效的安全更新,”报告指出。“在开发产品时,必须重新调整市场激励措施,以促进安全性和便利性之间的更好平衡。
