物联网设备安全法案要求安全标准-IDC帮帮忙

本周推出的一项两党立法要求向美国政府出售的供应商满足某些物联网设备的安全要求。

“物联网(IoT)网络安全改进法案”由美国传感器公司Mark Warner(D-Va。)和Cory Gardner(R-Colo。)共同主持参议院网络安全核心小组以及Sens 。罗恩维登(d-矿石)和史蒂夫·戴恩斯(R-蒙特)。该法案旨在改善政府使用产品的物联网设备安全性。

“根据该法案的条款,向美国政府提供物联网设备的供应商必须确保其设备可以打包,不包括无法更改的硬编码密码,并且没有已知的安全漏洞,其他基本要求,“ 参议员华纳办公室宣布该法案的声明解释说。

参议员与来自大西洋理事会和哈佛大学伯克曼克莱因互联网与社会中心的Berklett网络安全项目的专家合作制定物联网设备安全法案。它还鼓励安全研究人员采用“由联邦承包商协调漏洞披露政策和安全研究人员提供法律保护”谁搞“善意的研究”和下免除他们“的法律责任,以帮助找到物联网设备的安全漏洞计算机欺诈与根据采用的协调漏洞披露准则(原文如此)进行研究时的“滥用行为法”和“ 数字千年版权法案”。

“我一直在为过时和过于宽泛的计算机欺诈和滥用法案以及数字千年版权法案的改革提出理由,”参议员威登在声明中说。“这项法案是朝着正确方向迈出的两党,常识性的一步。该法案旨在让研究人员在政府购买的设备中寻找关键漏洞,而不必担心受到起诉或被一家恼怒的公司拖到法庭上。制定这项法案还将有助于阻止利用互联网连接设备的僵尸网络,这些设备目前很容易成为犯罪分子的牺牲品。“

物联网设备安全法案要求供应商开发“可依赖行业标准协议,不使用硬编码密码,不包含任何已知安全漏洞的可修补设备”。

该法案还规定,管理和预算办公室必须为具有有限数据处理和软件功能的设备制定其他“网络级安全要求”。

Mozilla,Cloudflare,Neustar,赛门铁克和VMware等厂商已经批准了该法案,一些安全专家也对此发表了意见,其中包括安全专家Bruce Schneier。Schneier在参议员华纳办公室的声明中表示,“不安全的互联网连接设备的激增带来了巨大的安全挑战。风险不仅仅是数据;它们影响着肉体和钢铁。市场不会提供安全性它本身,因为没有动力让买家或卖家采取任何行动,除了他们的自身利益。“ 他补充说,他赞赏参议员沃伦和其他人“用正确的方向推动市场”,以及物联网设备安全法案,以及认识到“安全研究人员所扮演的关键角色”。