美參議員提出物聯(lián)網(wǎng)安全部署法案，為政府采購(gòu)立下安全門(mén)坎

 這項(xiàng)法案希望透過(guò)立法為美國(guó)政府未來(lái)采購(gòu)物聯(lián)網(wǎng)裝置設(shè)下安全門(mén)坎，包括裝置必需能夠修補(bǔ)，不使用固定密碼或含有任何已知漏洞、建立物聯(lián)網(wǎng)裝置的安全要件、要求國(guó)土安全部揭露漏洞予物聯(lián)網(wǎng)供貨商等等。

美國(guó)4名參議員在本周二(8/1)提出了物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改善法案( Internet of Things Cybersecurity Improvement Act of 2017)，盼能促進(jìn)立法以對(duì)美國(guó)政府所購(gòu)買(mǎi)的IoT裝置建立安全門(mén)坎。

根據(jù)估計(jì)，全球的物聯(lián)網(wǎng)裝置數(shù)量到2020年將會(huì)超過(guò)200億個(gè)，這些裝置所搜集與傳遞的數(shù)據(jù)可用來(lái)造福產(chǎn)業(yè)與消費(fèi)者，但同時(shí)也會(huì)造成安全上的挑戰(zhàn)，有些裝置采用固定密碼且經(jīng)常無(wú)法修補(bǔ)，讓物聯(lián)網(wǎng)裝置成為安全漏洞，可能危及整個(gè)網(wǎng)絡(luò)。

近來(lái)發(fā)生的幾起安全事件都與IoT裝置有關(guān)，黑客利用IoT裝置的安全漏洞建置了龐大的殭尸網(wǎng)絡(luò)，針對(duì)特定網(wǎng)站、代管服務(wù)供貨商及網(wǎng)絡(luò)架構(gòu)供貨商發(fā)動(dòng)分布式阻斷服務(wù)攻擊。

參議院網(wǎng)絡(luò)安全核心小組主席之一的Mark Warner表示，雖然他們很期待物聯(lián)網(wǎng)所帶來(lái)的創(chuàng)新與生產(chǎn)力，但也一直擔(dān)心市場(chǎng)上有太多沒(méi)有適當(dāng)安全措施的IoT裝置，此一立法將替聯(lián)邦政府的IoT裝置采購(gòu)案建立完整又有彈性的準(zhǔn)則，得以補(bǔ)救明顯的市場(chǎng)失靈狀態(tài)，并鼓勵(lì)制造商于產(chǎn)品安全性的互相競(jìng)爭(zhēng)。

該法案的內(nèi)容涵蓋了IoT制造商應(yīng)確保出售給政府的裝置能夠修補(bǔ)，不得使用固定密碼或含有任何已知漏洞;指導(dǎo)美國(guó)行動(dòng)管理與預(yù)算局針對(duì)IoT裝置建立安全要求;指導(dǎo)國(guó)土安全部制定有關(guān)網(wǎng)絡(luò)安全漏洞揭露政策的指導(dǎo)方針予IoT供貨商;針對(duì)那些利用黑客技術(shù)尋找裝置漏洞的安全研究人員提供法律上的保障;要求每個(gè)使用IoT的部門(mén)清點(diǎn)這些裝置。

哈佛大學(xué)的Berkman Klein網(wǎng)絡(luò)暨社會(huì)研究中心共同創(chuàng)辦人Jonathan Zittrain表示，IoT裝置帶來(lái)新興的安全問(wèn)題，在購(gòu)買(mǎi)IoT裝置之后，這些問(wèn)題可能會(huì)持續(xù)數(shù)月或數(shù)年之久，此一法案利用聯(lián)邦采購(gòu)市場(chǎng)的勢(shì)力，而非借助直接規(guī)范制造商，來(lái)鼓勵(lì)制造商在產(chǎn)品中部署基本的安全措施，將讓所有人受益，包括非政府機(jī)關(guān)的采購(gòu)者。