物联网安全法要求制定标准

对于许多物联网开发团队来说，安全性仍然是一个愿望清单，被视为不值得在消费产品中实施所需的成本和努力。消费者似乎不愿意为增强的网络安全功能支付额外费用，也不愿意避免购买缺少此类功能的产品。然而，立法活动开始将安全性作为消费者物联网设计的法律要求。

美国国家标准与技术研究院 (NIST) 的项目经理 Katerina Megas 在 IoT World Today 的 IoT 安全峰会上发表讲话指出，一些州已经制定了要求 IoT 设备包含安全性的立法，并且正在添加到联邦法律也是如此。梅加斯指出，2020 年 1 月，加利福尼亚州和俄勒冈州都颁布了法律，要求其所在州的联网设备制造商为其设备配备“合理的安全功能”。此外，其他几个州——包括伊利诺伊州、马萨诸塞州、纽约州和弗吉尼亚州——也有类似的立法未决或正在考虑中。

Megas 还指出，美国政府正在开始制定强制要求物联网安全的立法。例如，美国众议院于 3 月推出了 H.R. 1668 – 2020 年物联网网络安全改进法案。该法案呼吁为联邦政府制定“关于机构适当使用和管理机构拥有或控制并连接到机构拥有或控制的信息系统的物联网设备的标准和指南，包括最低信息安全管理与此类设备相关的网络安全风险的要求。”它在众议院和参议院均获得通过，并于 12 月 4 日签署成为法律；标准和指南必须在 90 天内发布。

现在开始颁布强制要求在物联网设备中实施安全功能的法律。

虽然 H.R. 1668 仅适用于美国政府使用的物联网系统，但它标志着网络安全要求的开始，最终将适用于整个美国的工业和消费系统。 2019 年，国会成立了网络空间日光浴室委员会，为美国制定在网络空间自卫的战略方法。该委员会的第一份报告包含 80 多项建议，其中包括 50 多项立法提案，以帮助实施委员会的分层防御战略。其中许多提案不仅影响政府系统，也适用于工业和消费系统。

三项具体建议值得物联网开发团队的高度关注。有人呼吁美国通过一项物联网安全法，强制执行“合理的安全措施”，以符合 NIST 的建议，例如 NISTIR 8259——物联网设备制造商的基础网络安全活动。另一项提案要求建立一个国家网络安全认证和标签机构，该机构将验证物联网设备是否符合要求。此外，该提案要求该机构将其范围扩大到联邦和工业物联网系统之外，以涵盖个人和消费电子产品。

值得关注的第三个提案有可能推翻任何可能存在的在设计中实施物​​联网安全的经济反对意见。该提案要求确立最终产品组装商的责任。如果实施，待售物联网设备的制造商将在其设备未能抵御已知漏洞的情况下承担损害赔偿责任。换言之，物联网安全将成为“必备”功能，无论它是否会吸引消费者增加支出。不实施安全措施的风险只会太高。

所有这些立法所要求的“合理的安全特征”仍然只是模糊的定义。在加利福尼亚州和俄勒冈州的法律中，根据 Megas 的说法，“合理”的定义只是要求采取适合设备功能及其处理的信息的措施，并寻求防止未经授权的访问、披露、使用、修改或破坏那个信息。具体措施未定义。

他们也不可能是。正如梅加斯在演讲中指出的那样，NIST 在推荐网络安全措施时的指导思想是，一种方法并不适合所有人。因此，这些法律并未编入具体措施。相反，这些努力正在采取基于结果的方法。即将出台的要求物联网设计实施网络安全的法律不会具体说明如何做到这一点。这个决定仍然取决于开发团队。但是，对物联网安全的需求及其实施的功能正在从良好的意识发展为法律要求。

>> 本文最初发表于我们的姊妹网站 EDN。