Закон Калифорнии о безопасности IoT может заложить основу для усиления аналогичного законодательства США
Прослушать текстЗакон Калифорнии о кибербезопасности Интернета вещей, ожидающий подписи губернатора штата, может заложить основу для усиления законодательства в сфере кибербезопасности IoT на уровне США,
считает обозреватель The Washington Post Дерек Хокинс.
Документ устанавливает стандарты кибербезопасности для подключенных устройств - от термостатов и веб-камер до автомобилей. Калифорния может стать первым штатом США, который законодательно регулирует безопасность IoT. Мнения исследователей кибербезопасности по поводу законопроекта разделились. Некоторые эксперты утверждают, что он не справляется с основными проблемами, которые делают подключенные устройства уязвимыми для взломов. Но документ мог бы заложить основу для усиления законодательства в сфере кибербезопасности IoT как на федеральном уровне.
Калифорнийский законопроект SB-327 направлен на устранение некоторых из этих уязвимостей, устанавливая базовые стандарты кибербезопасности для устройств IoT, где их не существует. Для этого требуется, чтобы производители оснащали подключенные устройства «разумной функцией или функциями безопасности», предназначенными для предотвращения доступа к ним злоумышленников, хотя документ не определяет, какими должны быть эти функции. Он также требует, чтобы подключенные устройства поставлялись с уникальными паролями, которые пользователи могут изменять.
Язык Калифорнийского законопроекта слишком расплывчат, чтобы быть эффективным, и сам по себе представляет пример того, как нельзя подходить к безопасности IoT, считает исследователь кибербезопасности Роберт Грэм. По его мнению, документ может навредить, навязывая разработчикам лишние затраты.
Подписаться на новости
Документ устанавливает стандарты кибербезопасности для подключенных устройств - от термостатов и веб-камер до автомобилей. Калифорния может стать первым штатом США, который законодательно регулирует безопасность IoT. Мнения исследователей кибербезопасности по поводу законопроекта разделились. Некоторые эксперты утверждают, что он не справляется с основными проблемами, которые делают подключенные устройства уязвимыми для взломов. Но документ мог бы заложить основу для усиления законодательства в сфере кибербезопасности IoT как на федеральном уровне.
«Закон, предписывающий производителям придерживаться его требований в Калифорнии, будет помогать всем», - считает Брюс Шнайер, специалист по техбезопасности в Гарвардской школе Кеннеди, автор книги по безопасности IoT. - Очевидно, он не слишком глубоко копает, но это не повод его не принимать. Это повод продолжать работу после того, он будет принят».Законодатели стали больше беспокоиться об уязвимостях в устройствах IoT после того, как массовая атака ботнета Mirai в 2016 году показала, насколько плохо защищены многие из них. Хакеры использовали умные веб-камеры и другие гаджеты для распределенной кибератаки на отказ в обслуживании против Dyn DNS, оператора DNS в США, "положив" Netflix, Spotify, Twitter, Etsy, Github, Soundcloud и ряд других ресурсов.
Калифорнийский законопроект SB-327 направлен на устранение некоторых из этих уязвимостей, устанавливая базовые стандарты кибербезопасности для устройств IoT, где их не существует. Для этого требуется, чтобы производители оснащали подключенные устройства «разумной функцией или функциями безопасности», предназначенными для предотвращения доступа к ним злоумышленников, хотя документ не определяет, какими должны быть эти функции. Он также требует, чтобы подключенные устройства поставлялись с уникальными паролями, которые пользователи могут изменять.
Язык Калифорнийского законопроекта слишком расплывчат, чтобы быть эффективным, и сам по себе представляет пример того, как нельзя подходить к безопасности IoT, считает исследователь кибербезопасности Роберт Грэм. По его мнению, документ может навредить, навязывая разработчикам лишние затраты.
«Это основано на неправильном представлении о добавлении функций безопасности, - пишет эксперт в тематическом блоге Errata Security. - Суть не в том, чтобы добавить «функции безопасности», а в том, чтобы удалить «небезопасные функции. Добавление функций - это типичный пример представления о «волшебной таблетке» или «серебряной пуле», на борьбу с которым мы в информационной безопасности тратим столько времени».Такой закон даст защиту только от «самых основных автоматизированных угроз», считает Рут Арци, менеджер по маркетингу VDOO.
«Требование обеспечить «надлежащую» процедуру обеспечения безопасности, в зависимости от характера устройства и функции, слишком неоднозначно, и не обеспечивает реального механизма проверки того, что поставщик действительно предпринял соответствующие шаги, - сказал Арци сайту безопасности Threatpost. - Необходимы четкие стандарты для компонентов устройства, которым сможет следовать производитель, и способ подтверждения того, что он разработал согласно этим стандартам».В настоящее время на рассмотрении в Конгрессе США находится федеральный законопроект о повышении кибербезопасности Интернета вещей. Согласно документу, любые компании, которые сотрудничают с федеральным правительством, должны будут обеспечить, чтобы на их подключенные устройства устанавливались обновления, а сами устройства имели пароли, которые могут быть изменены, и свободны от известных уязвимостей. Другой законопроект, посвященный безопасности IoT, требует, чтобы Федеральная комиссия по связи разработала стандарты кибербезопасности для сертификации беспроводного оборудования.
Обсудить
Назад
