美國將起草新一輪物聯網安全法案

美國政府在連接設備設定安全相關標準方面公布的最新法案較少，更多的是向國家標準與技術研究院提出建議。 多年來，立法者第三次提出一項法案，要求聯邦承包商和供應商銷售的物聯網(IoT)產品遵守政府指導方針，以確保網絡安全的基線。

目前的法案得到了雙方成員的支持，被稱為2019年的物聯網網絡安全改進法案，它避開了具體的建議，要求美國國家標準與技術研究院(NIST)為其出售物聯網設備制定安全指南。

該立法如果簽署成為法律，將意味著物聯網設備將有更高的安全性，包括消費者和IoT設備商將從中受益。

最初的立法被稱為2017年的物聯網網絡安全改進法案，是在Mirai僵尸網絡針對互聯網基礎設施提供商Dyn并于2016年10月中斷了各種其他互聯網服務之后推出的.Mirai破壞了弱安全的數字視頻錄像機和連接的攝像機，創建了一個超過100，000個端點的僵尸網絡，它們對Dyn進行了一系列不利的拒絕服務(DDoS)攻擊。

該法案旨在利用政府的購買力來激勵公司創建更安全的連接設備，參議院情報委員會副主席參議員約翰華納，該法案的共同提案國，在一份聲明中說。

雖然立法者的目的是通過聯邦采購的力量廣泛影響物聯網設備的安全性，但該法案本身只關注政府對代理商為自己使用而購買的設備的要求，PTC的Corman說。如果五角大樓購買戰場系統，他們希望確保他們不會被其他國家的軍隊攻擊。

“政府完全有權作為設備的購買者，希望讓這些產品不被黑客攻擊或追蹤，”他說。“100美元設備的制造商沒有意識到，如果由聯邦政府部署，攻擊面和威脅模型明顯不同。”

在許多方面，該立法已經遵循加利福尼亞州去年年底通過的立法中的先例，該立法要求制造商將“合理的安全特征或功能”納入物聯網設備。

在2018年5月關于防范僵尸網絡和自動威脅的報告中，美國國土安全部和美國商務部建議技術和產品在其開發和制造的每個階段都包括安全性。此外，報告認為聯邦政府應該利用其購買力來激勵制造商創造更安全的技術。

“產品開發者，制造商和銷售商的動機是降低成本，縮短上市時間，而不是在安全建設或者提供有效的安全更新，” 報告指出。“在開發產品時，必須重新調整市場激勵措施，以促進安全性和便利性之間的更好平衡。