美国计划IOT安全立法,但英国不太可能遵循
美国正在考虑立法来规范组成的设备的安全性(物联网),这可能会促使其他各国政府进入以下诉讼。
该举动今年早些时候由安全技术专家布鲁斯·施奈尔早些时候出现。“监管即将到来,进一步走强,”他敦促伦敦的欧洲安全行业敦促安全行业拥抱事实并参与避免征收穷国立法。
“选择不属于监管,没有规定。选择是在智能规范和愚蠢的规范之间,“他说。
安全研究人员渴望由IOT设备提出的迫在眉睫的安全风险警告,但在2016年10月10月的DNS服务提供商Dynin的Themirai Botnet攻击之后,该主题受到影响,这些组织包括亚马逊Web服务,Github,Netflix,PayPal,包括亚马逊网络服务,reddit,spotify和twitter。
Cyber Security改进机构的提议内部旨在禁止生产不允许软件安全更新和更改密码的IOT设备。
该法案还将要求IOT设备符合行业安全标准,并没有任何已知的安全漏洞。
根据撰帖根据撰帖,根据撰帖根据撰帖根据撰帖,撰写于大西洋理事会和哈佛大学的技术专家的意见,赞助了从技术专家和哈佛大学的投入提出立法。
华纳表示,立法试图采取“尽可能最轻的触感”,但旨在纠正“明显的市场衰竭”,为设备制造商提供了很少的动机,可以使产品安全。
IOT安全公司Rubicon Labs的首席产品官员Rod Schultz表示,释放具有安全漏洞的数字产品远太容易了,因为没有时间测试和修复。“搅动扭转产品通过时间迅速推动到市场和利润要求。
“许多证券所需的IOT设备的安全失败在规模和范围内快速,具有主要影响基础设施。如果没有由供应商适当讨论的IoT安全,则不应该令人意外地提出立法填补那种空虚,“他说。
拟议的立法将扩大为“诚信”工作的安全研究人员来说,以探讨漏洞的IOT设备,以帮助设备制造商提高安全性。
但是,如果在适当的其他控件,如网络分割,则允许联邦机构允许联邦机构要求购买不合规设备的管理和预算办公室,例如网络分割。
虽然安全研究人员欢迎朝着正确的方向作为积极步骤的举措,但有些人敦促立法者确保立法是用对该技术的理解写的。
Tripwire的安全研究员Craig Young Shipporated Company Carmoced Compandments应该踩到并禁止销售互联网连接设备,以硬编码或默认密码。“我认为立法者应通过授权参与公正和授权参加公正的互联网透明Bug赏金计划。“
年轻人已经完成了对智能家居和各种消费物联网设备的广泛研究,也欢迎拟议的研究人员保护。“有时供应商应对赏金支付和感激之情,而其他时候他们已经回应了威胁性法律语言,”他说。
年轻人说,一些错误赏金计划也为供应商提供太多的余地来忽视有效的安全研究,同时使用服务条款来防止研究人员披露问题,即使没有支付赏金,即使没有支付赏金。
Travis Smith也是Tripwire的主要安全工程师表示,拟议的立法将有助于解决一些已知的问题,这是每天被黑客攻击的许多IOT设备。
但是,他表示,该法案在修补和密码时,该账单将无助于IoT设备的整体安全性,因为当留给用户时,更改密码和安装修补程序不是优先级。
“在修补时,我将IoT设备放入三个桶中。最佳存储桶具有自动检测新更新的设备,并在没有任何用户参与的情况下安装它们。这是所有IOT供应商中应该竞争的策略。
“第二个,是可选补丁,这是本条例草案最有可能的授权。但第一个问题是让用户了解补丁,然后让它们实际安装它。这两个任务对于您的普通用户来说是众所周知的。
“最后,有没有收到任何补丁的设备;故意与否,“他说。
关于密码,史密斯说,Mirai如此成功的原因不是因为用户无法改变他们的密码,而是因为他们选择了在安装设备时不再选择。
“我会敦促这项账单添加,如果设备强制用户更改默认密码,则默认密码也应该是每个设备的唯一。“甚至是使用MAC地址的简单,虽然不安全,但这比使用我们已成为惯常的默认管理员/管理员凭据更好的一步,”他说。
史密斯说,为了成功,他认为供应商需要激励,让他们的设备到安全的状态。
“释放免于安全性错误的设备是耗时和昂贵的。许多这些设备是一种商品,将时间推迟到市场或收取更高的成本可能不适合其当前的商业模式,“他说。
Mark Noctor,欧洲副总统德国技术说,欧洲的副总统技术说,比例说明供应商解释其系统中的漏洞,并解释为什么他们的设备仍被认为是安全的,备注立法将强迫开发人员认真对待安全。
“满足这种需求将有助于保证设备通过设计安全,而不是将安全规定作为事后的要求 - 在今天的快节奏市场中都太常见了,”他说。
虽然专注于密码管理等基本措施是一个很好的起点,但Noctor表示将来的立法应该建立在这方面,需要更先进的安全措施,例如使用代码硬化来保护连接的设备的软件被闯入和反向设计恶意目的。
“希望这项法案将成为世界各地政府的一个例子,以保护自己的市场,”他说。“虽然来自亚洲萨这样的机构的地区有很有用的工作,但似乎是一个法律行为是让供应商确保安全的最佳方式。”
但是,即使政府倾向于将立法视为最后的手段,特别是在新的和新兴技术方面,立法不太可能在英国。
虽然物联网安全是目前的网络安全中心(NCSC)的关键领域,但目前的方法是在每个部门的领导政府部门提高对IOT相关的安全问题的认识,并鼓励风险管理和软件等领域的最佳实践安全更新。
由于IOT在工厂,办公室,房屋和汽车中的各种内容中涵盖了各种嵌入式设备,因此对每个环境的风险程度不同,并且需要不同的方法来减轻风险。
NCSC的首要任务是确保控制对英国影响很高的工业控制系统的安全性,但NCSC也与工业和消费水平的设备制造商和用户一起工作,以承担IoT设备的重要性软件更新机制。
NCSC还在寻求突出安全性和商业优势,确保IoT设备和系统默认保证并通过设计安全。
英国政府更有可能支持制造商能够签署良好实践标准的准则的自愿计划,而不是立法。
这将需要设备制造商提交基本的安全措施,例如要求用户在设备运行并提交以修复出现的任何安全漏洞 - 以及支持产品的安全漏洞以及设置的安全更新年。
2017年5月,ENISA发布了血症论文,确定了欧洲委员会确定的关键挑战和建议:
定义确保连接设备的最小安全要求的策略框架。正在开发可靠的安全流程和服务的案例,以支持行业在其产品中实施安全功能。环境中强制上演要求的开发,包括IOT中的安全和隐私的安全性和隐私一些最小的要求。用于网络安全的级别竞争字段,并调查类似于数字安全奖励的激励措施,以奖励使用良好的安全实践。ENISA的执行董事UDO Helmbrecht表示,有信任的解决方案和普通定义的级别的连接和智能设备的安全和隐私都建议并需要允许欧洲获得这些技术的好处。
“标准化和认证已被确定为优先权,以加快整个行业的水平竞争环境,并反映关联环境中公民,消费者和企业的信任,”他说。
