В Калифорнии принят первый закон о кибербезопасности IoT

Губернатор Калифорнии Джерри Браун (Jerry Brown) подписал закон о кибербезопасности, регулирующий сферу «умных» устройств. Законопроект SB-327 был опубликован в прошлом году и передан сенату штата в конце этого августа, сообщает The Verge.

Начиная с 1 января 2020 года любой производитель устройства, которое «прямо или косвенно» подключается к Интернету, должен снабдить его «приемлемыми» функциями безопасности для предотвращения от несанкционированного доступа, изменения или раскрытия информации. Если доступ к устройствам можно получить за пределами локальной сети с использованием пароля, то каждому девайсу еще на заводе необходимо задать уникальный пароль или связку «логин/пароль». Еще один вариант для разработчиков – потребовать от пользователя при первом подключении оборудования ввести свой пароль и/или логин.

Ранее у производителей была возможность задать одинаковые заводские пароли для тысяч экземпляров одной модели устройств. С принятием этого закона злоумышленники не смогут получить списки общих учетных данных по умолчанию.

Закон распространяет свое действие на территории Калифорнии. Поэтому устройства, официально ввозимые в штат, должны соответствовать требованиям документа. С одной стороны, некоторые эксперты высоко оценили законопроект. С другой стороны, документ подвергся критике за неопределенность формулировок.

Эксперт Роберт Грэхэм (Robert Graham) высоко оценил требования по обязательной установке пароля. Он утверждает, что принятый закон акцентирует внимание на проблемы безопасности, сосредотачиваясь на добавлении «хороших» функций, но оставляет «плохие», открывающие устройства для атак. По словам эксперта, такой способ не охватывает весь спектр систем аутентификации. Данные системы могут  оставить дыры в безопасности, которые в 2016 позволили распространиться ботнету Mirai.

Однако Брюс Шнайер (Bruce Schneier) коллега Грэхэма по Гарвардскому университету, назвал новый закон «хорошим началом в череде будущих изменений».

Ранее в Конгрессе США обсуждалось несколько законопроектов, предполагающих регулирование IoT. Однако эти документы не нашли поддержки. Законопроект «Об улучшении кибербезопасности в IoT» 2017 года установит минимальные стандарты безопасности для подключенных устройств, приобретенных правительством, но не электроники в целом. Также в рамках законодательных инициатив министерство торговли проведет исследование состояния отрасли.