加州州长杰里·布朗在去年推出的SB-327法案上签字,加州因此成为全美国第一个拥有智能物联网设备安全法的州政府。
据悉,法案将于2020年元旦起正式实施,法案正式生效后,所有联网设备的制造商都要为其产品配备安全设置,以防止信息被未授权访问或者修改泄露。
另外,如果设备可以使用密码在局域网外访问,那么制造商需要为用户提供唯一的密码,或强制用户在第一次连接时设置密码。这也就意味着黑客们将没有机会通过默认设置的漏洞来对设备进行攻击或者监视。
新法案的推出引起了广泛的讨论,肯定者有之,对其大肆批驳的亦有之。
肯定者认为法案的推出就是一个良好的开端。反对者则认为这个法案有太多不明确的地方,存在很多模糊性条文。
反对者中以网络安全专家罗伯特·格雷厄姆为代表,他觉得,如果只是一心添加那些正面功能却不去集中注意力删除那些会悄悄访问设备甚至是会攻击电脑的软件,这是在本末倒置,会让安全问题产生倒退。
同时,他也肯定了设立密码的要求,不过仅仅设立密码并不能涵盖所有身份验证系统,依旧会为“Mirai物联网僵尸”等网络传播病毒留下漏洞。
哈佛大学的布鲁斯·施奈尔也是法案的赞成者之一,他认为这是一个良好的开端。尽管法案在某些方面还存着一定的瑕疵和不足之处,但是我们也不能因此就否定它。
事实上,不只是加州在这一方面有立法的想法,国会的物联网法案也在筹备之中,不过当前还没有一部进入投票环节。
尽管2017年的物联网网络安全改进法案为美国政府购买的连接设备( connected devices)设定了最低安全标准,但是一般的电子设备(electronics in general)并不包括其中。
另外2017年的物联网消费者TIPS法案指导了联邦贸易委员会为连接设备周围的消费者开发了教育资源,并且SMART IoT法案将要求商务部2017年对该行业的状况进行研究。但是当前还尚未出现一部专门的法规。