还有不到一个月,全球首部物联网安全法将在美国加利福尼亚州。由于技术标准在生命周期早期缺乏对信息安全问题的充分考虑,以及产品技术和行业的高度碎片化,物联网安全问题尤为棘手。对于全球物联网行业和监管机构来说,加州物联网安全法获得了极大的关注,但遗憾的是,在该法实施之前,许多潜在的问题已经暴露无遗。9月,加州州长杰里·布朗签署新法案,规范物联网设备安全,该法案将于2020年1月1日生效。加州物联网安全法出台的初衷是为了更好地应对“物联网”带来的风险。万物互联”进入职场。物联网法律值得任何物联网安全专业人员花时间去了解。首先,在加州物联网法中,对于“合理的安全功能”缺乏明确的定义和指引,导致相关企业和组织难以遵守规定。下面,我们将探讨加州物联网法留下的“安全死角”:加州物联网安全法所涵盖的设备范围定义存疑。任何设备或其他物理对象的地址或蓝牙地址”。对于安全团队中试图确定设备是否符合其公司安全策略的人员来说,此定义可能会有问题。互联网连接设备包括从计算机到恒温器的所有设备,复印机和员工个人健身追踪器。更重要的是,Gartner预测连接设备的数量将继续增长,明年数量将达到204亿。根据JuniperResearch的预测,物联网设备数量的年增长率未来几年将达到140%,设备数量将接近500亿,毫无疑问,物联网设备给全球企业带来的高安全风险正在不断积累,与此同时,数量和规模也在不断扩大,企业迫切需要更加明确应该给予不同设备不同的安全优先级。(另请阅读:提高物联网安全性和可见性的七种工具)什么构成“合理”的物联网安全功能?根据新法,合理的安全功能被概括为“与设备的性质和功能相适应,同时适合于设备收集、携带或传输的信息,旨在防止未经授权的访问、破坏、使用、修改,或披露设备及其中包含的任何信息。”此外,来自美国国家律师事务所BakerHostetler的DanielPepper指出:如果要在LAN之外对设备进行身份验证,法律明确规定“合理的安全性”意味着该设备应包含唯一的预编程密码,或者需要一个在用户被授予初始访问验证手段之前采用新身份。这一要求超出了之前FTC执法行动提供的指导,该行动承认默认设置带来的漏洞并推荐“合理”的初始密码管理指导。换句话说加州物联网安全法案对身份验证和密码管理提出了更高的要求。但是,根据加州司法部2016年2月发布的《加州数据泄露报告》,该法案将CIS密钥安全控制作为“合理”的“基础”网络安全。然而,CIS20并不特定于物联网设备,一些CIS控制措施不适用于物联网设备es。因此,2016年的报告和法规与即将实施的新加州物联网法规叠加在一起可能会给企业带来困惑。操作智能冰箱或其他智能设备是否需要安全意识和培训计划?等违规行为难以识别和处罚如上所述,加州物联网安全法最大的错误是采用了不针对物联网设备的设备安全控制规范。对于任何担心违规的公司来说,好消息是法律禁止私人团体根据加州法律提起诉讼。相反,执法权“排他性地”授予加州总检察长、市检察官、县检察官和地区检察官。此外,法规的文本甚至没有具体说明可用的处罚类型、最高处罚或检察官将如何发现违规行为。总而言之,对违规企业的处罚不仅缺乏明确的依据,就连违规企业的认定也成问题。正如我在开头提到的,加州物联网安全法案是第一个实施的物联网安全法规,但绝不是最后一个。随着物联网安全风险的不断积累,全球相关法律法规也将陆续出台,加州物联网安全法的不足和不足可以为后来者提供更多的经验和教训。
