美国通过物联网网络安全改善法案，以建立互联设备行业中广泛采用的标准

美国上个月通过了一项全面法案，该法案将为物联网行业提高网络安全标准进行多年的努力，该法案将为在联邦市场上运营的公司建立统一的标准。

该法案的支持者试图使用联邦网络安全基准来影响物联网设备的更广阔的企业和消费者市场，就像EnergyStar评级影响更广泛的能效标准一样。

美国参议员Mark Warner表示：“尽管当今越来越多的产品甚至家用电器具有软件功能和互联网连接能力，但很少有产品甚至包含基本的安全保护措施，这对个人和国家安全构成了真正的风险。现在成为法律的《物联网网络安全改进法案》利用联邦政府的购买力为物联网设备建立了一些最低安全标准。”

该法案已由共和党控制的参议院一致通过，并将该法案将于本周生效。

Warner说：“自从上次在第115届国会上通过该法案以来，主要的行业利益相关者一直朝着正确的方向发展，因此，我认为这些设备的安全性总体趋势是普遍的。但是，要确保这些设备的市场继续朝这个方向发展，美国联邦政府的购买力必定会有所帮助。”

物联网设备背后的技术已经存在了数十年。物联网技术在主要行业中广泛用于控制接入点和管理其他系统。

趋势科技基础设施战略副总裁Bill Malik表示，工业控制系统自上世纪60年代就已经存在，并且已广泛用于从建筑控制系统到发电设备，仓库管理系统和医疗保健的所有领域。最近，该技术已用于开发自动恒温器、联网的车辆和家庭安全设备。

2016年的Mirai僵尸网络攻击暴露了物联网设备的漏洞，导致美国的互联网服务大规模中断。闭路摄像机缺乏最基本的保护措施，包括密码、安全控制和修补缺陷的能力。

UL身份管理与安全部门高级业务开发经理Gonda Lamberink表示：“僵尸网络一直以目标低落的水果为目标，例如消费物联网设备，并利用薄弱的安全功能。一旦受到威胁，物联网设备就会被滥用来向各种类型的互联网站点和服务发送大量数据。”

参议院网络安全核心小组的共同创始人Warner和参议员Cory Gardne于2017年提出了该法案，后来在代表的支持下通过了国会通过该法案。R-TX的WillHurd和D-的RobinKellyIL，在众议院。

同时，州立法者在加利福尼亚州和俄勒冈州通过了自己的法案，要求物联网制造商必须满足在这些州出售的设备的最低安全标准。这些法案于2020年初生效。

联邦法案要求美国国家标准技术研究院至少发布有关物联网设备安全开发、身份管理、补丁和配置的建议。管理和预算办公室将为每个机构制定符合NIST建议的指南。

NIST还将与国土安全部和行业专家合作，共同制定漏洞披露指南。向联邦政府提供信息系统的承包商和供应商将需要制定协调一致的漏洞披露政策。

物联网和网络安全专家在该法规将对企业和消费者市场产生多大影响方面存在分歧。一些专家表示，该立法将帮助推动私营部门以类似于使用绿色建筑技术的方式来协调标准。

Lamberink说：“这可能会为私有部门已经在努力建立的物联网设备建立事实上的国家安全基线或标准，并可以进一步建立。”

据总部位于华盛顿法尔市的一家致力于物联网安全技术开发的公司Sequitur Labs称，最成熟，最成熟的公司通常会将其产品带到第三方认证实验室进行渗透测试以及对各种设计，制造和生命周期过程的审查。设备。

Sequitur Labs的联合创始人兼首席执行官Philip Attfield说：“归根结底，这归结于与产品相关的风险或责任、品牌损失或对客户的风险。”

他说，已经在联邦领域的大型系统集成商将很可能是第一个遵守该标准的公司，并将把新标准推向供应链。

尽管人们普遍抱有乐观态度，但其他人对立法的即时影响更加谨慎，因为市场压力可能导致一些公司在满足非政府业务定价的同时，分析其产品库存以满足新的联邦法规的要求。