美国国会不时地设法完成工作,昨天是其中的日子:参议院通过了一项新的物联网网络安全法案,众议院也批准了该法案,现在将移交给总统的办公桌。
正如我们在三月推出的《物联网网络安全改进法》中指出的那样,该法律法案实际上是相当不错的:它要求美国国家标准与技术研究院(NIST)提出物联网设备的准则,并要求任何联邦机构只能从符合新规定的公司购买产品。
它给出了要考虑的最低注意事项列表:安全代码,身份管理,补丁和配置管理。它还要求总务管理局(为联邦机构采购产品和通讯的联邦政府部门)提出准则,要求每个机构报告和发布安全漏洞的详细信息,以及如何解决安全漏洞并进行协调与其他机构。
不要太震惊,但看起来这些政客实际上已经在物联网安全方面采取了行动
阅读更多
业界也做出了努力-赛门铁克,Mozilla,BSA软件联盟(包括Apple,Microsoft,IBM,Cloudflare,CTIA等)-国会设法通过离开来使自己对一切一无所知与专家一起制作标准,使用联邦采购创建事实上的行业标准。
当然不是完美的。公司仍将能够生产不符合新标准的产品,因此将继续存在以较低价格面向消费者的不安全产品,几乎可以保证网络安全将继续是互联网安全的主要问题。东西。而且法律还没有涉及如何以及何时更新设备以应对新出现的安全漏洞的根本问题。
但是,这项新法律确实意味着对于那些寻求优质安全产品的人,整个行业将有一个基准标准。
这项法案是由参议院一致通过的,是关于这一关键问题的最大立法:将数百万亿的设备连接到互联网;其中许多安全性较差。
假设总统签署该协议,它将于明年开始生效-到9月NIST建议的最初时间表因国会尽力而为被宣告无效-认为自己陷入停滞状态。
但是它的通过令人感到鼓舞:联邦,全国范围的方法将比一系列州法律(加利福尼亚和俄勒冈州都已通过物联网安全法案)更加有效。
这不是一个完整的解决方案。如上所述,它不需要公司或联邦政府以外的任何人生产或购买符合新标准的产品。因此,市场将继续淘汰不安全的物联网设备。反过来,这将为僵尸网络和DDoS攻击以及数据盗窃等带来巨大的机会。
但这是确保安全物联网就位的必不可少的第一步。谁知道,也许国会会再次令我们感到惊讶,并拨出资源来推动和促进购买符合新标准的产品的重要性。好吧,我们可以做梦。 ®
注册-技术社区的独立新闻和观点。情境发布的一部分