物联网安全法要求标准

对于许多物联网开发团队而言,安全性仍然是一个愿望清单,被视为不值得在消费类产品中实施所需的成本和精力。消费者似乎不愿意为增强的网络安全功能或为避免产品缺乏此类功能而支付额外费用。但是,立法活动开始使安全性成为消费者物联网设计的法律要求。

在今日的IoT World演讲中 物联网安全Summit,美国国家标准技术研究院(National Institute of Standards and Technology)的计划经理( 国家标准技术研究所 )Katerina Megas指出,某些州已经在立法中要求要求IoT设备整合安全性,并且该法律也已添加到联邦法律中。 Megas指出,在2020年1月,加利福尼亚州和俄勒冈州均颁布了法律,要求其所在州的联网设备制造商为其设备配备“合理的安全功能”。此外,其他几个州-包括伊利诺伊州,马萨诸塞州,纽约州和弗吉尼亚州-也有类似的立法正在等待或正在考虑中。

梅加斯还指出,美国政府正在开始制定法规来强制物联网安全。以美国众议院为例 H.R. 1668 – 2020年物联网网络安全改进法 三月。该法案要求为联邦政府制定“标准和指南,以指导联邦政府适当使用和管理由机构拥有或控制的并与机构拥有或控制的信息系统相连的物联网设备,包括最低程度的信息安全性”。管理与此类设备相关的网络安全风险的要求。”它通过了众议院和参议院,并于12月4日签署成为法律;标准和指南必须在90天内发布。


要求在物联网设备中实现安全功能的法律现已开始颁布。

尽管H.R. 1668仅适用于美国政府使用的物联网系统,但它标志着网络安全法规的开始,该法规最终还将在美国范围内适用于工业和消费者系统。在2019年,国会成立了 网络空间日光浴室委员会 为美国制定一种在网络空间中捍卫自己的战略方法。该委员会的第一份报告包含80多项建议,其中包括50多项 立法建议 帮助实施委员会的分层防御策略。这些提议中的许多不仅影响政府的系统,而且也适用于工业和消费者系统。

物联网开发团队强烈关注三个具体建议。有人呼吁美国通过一项物联网安全法,强制执行“合理的安全措施”,以符合NIST的建议,例如 国家标准技术研究所 IR 8259 —物联网设备制造商的基础网络安全活动。另一建议要求建立国家网络安全认证和标签管理机构,以验证物联网设备是否符合要求。此外,该提案要求该机构将其范围扩展到联邦和工业物联网系统之外,以涵盖个人和消费电子产品。

值得关注的第三个建议有可能克服可能存在的在设计中实施物​​联网安全性的任何经济反对意见。该提议要求对最终产品组装者承担赔偿责任。如果实施,则要出售的IoT设备制造商将承担赔偿责任,如果其设备未能防范已知漏洞。换句话说,物联网安全性无论是否诱使消费者增加支出,都将成为一项“必备”功能。不实施安全性的风险将非常高。

所有这些立法要求的“合理的安全功能”仍然只是模糊的定义。根据Megas的说法,在加利福尼亚州和俄勒冈州的法律中,“合理”的定义仅要求采取适合设备功能及其所处理信息的措施,并力求防止他人未经授权擅自访问,披露,使用,修改或毁坏设备。该信息。未定义具体措施。

他们也不可能那样。正如Megas在演讲中指出的那样,NIST在推荐网络安全措施时的指导思想是,一个规模并不适合所有规模。因此,这些法律未纳入具体措施。相反,这些努力正在采取基于结果的方法。即将出台的要求物联网设计实现网络安全的法律将不会规定如何实现。这种决心仍将取决于开发团队。但是,对物联网安全性及其实现功能的需求正在从合理的角度发展为法律要求。

>>本文最初发布在我们的姊妹网站上, EDN .


相关内容:

要获得更多嵌入式产品, 订阅嵌入式’的每周电子邮件通讯.

发表评论

该网站使用Akismet减少垃圾邮件。 了解如何处理您的评论数据.