加州的《物聯網安全法》生效，你還在觀望？

前言：雖然《加利福尼亞州物聯網安全法》已經生效，但是多數人懷疑，一個簡單的身份驗證修復程序對大多數設備來說是否足夠？或者公司是否需要遵循更嚴格的標準？

 

《加利福尼亞州物聯網安全法》（California's Internet of Things）於2020年1月1日生效，要求製造商爲設備配備法律中規定“合理的安全功能”。這意味着製造物聯網設備的公司（從Internet路由器到連網的恆溫器再到家庭監控攝像頭等）需要遵循執行已生效的加利福尼亞物聯網（IoT）安全法。

 

加利福尼亞州（以下簡稱加州）的參議院第327號法案（即《加利福尼亞州物聯網安全法》）是2018年9月28日獲得州長批准的，該法案要求在該州出售的所有聯網設備（無論在哪裏生產）都必須配備法律中規定“合理的安全功能”，以保護用戶的安全，避免未經授權訪問、修改或泄露的產品和用戶數據。同時，法律規定不允許使用單一密碼硬編碼（在代碼中直接寫明文密碼的方式），並且每個設備必須具有唯一的密碼，或者要求用戶在首次使用該設備之前需要修改默認密碼爲新的密碼。

 

加利福尼亞州的參議院第327號法案內容

 

莫里森與福斯特律師事務所(Morrison & Foerster)隱私事務合夥人克里斯汀•里昂(Christine Lyon)表示，法律是以書面的方式，確保設備遵循該指南。

 

她說：“法律只適用於認證。這似乎足夠了，但是我懷疑隨着時間的推移，我們將看到關於安全功能所需的更多具體規範。”

 

一位律師說，建立強大的身份驗證機制只是必需的功能之一。

 

貝克豪斯特勒律師事務所(BakerHostetler)隱私和數據保護合夥人丹•佩珀(Dan Pepper)表示，2016年《加州違規報告》（點擊“閱讀原文”可查看報告原文）暗示了“合理安全”的指南。將互聯網安全中用於有效網絡防禦的關鍵安全控制標記爲充分安全的“底線”。

 

他說：“該法律爲公司提供了靈活性。但是，如果您所要做的只是執行身份驗證步驟，而沒有對更新補丁、加密或第三方組件進行任何操作，那麼您將無法實現合規。身份驗證只是一個具體示例。”

 

也有律師說，這種混亂導致許多公司根據法規衡量是否存在任何風險，並等待進一步的指導。法律沒有賦予消費者私人訴訟的權利，只有政府才能依法對公司進行調查或處罰，這是公司評估其風險的另一個考慮因素。

 

根據律師的說法，雖然法律要求的安全性看起來像是一小步，但受立法影響的設備數量卻很大。

 

丹•佩珀(Dan Pepper)還表示，法律文本並未指定設備的類型，但該法律可能適用於“連網的設備”一詞涵蓋的一長串硬件，包括打印機和安全攝像頭，智能燈泡和Apple Watch等產品。

 

他說：“很多不同類型的設備都受到了影響。”加州法律並不是針對連網設備安全性的唯一立法。預計將有250億臺設備成爲全球物聯網領域的一部分，立法者正在對物聯網製造商進行越來越嚴格的審查。由SCA安全通信聯盟牽頭制定的全球物聯網產品信息安全技術國際標準——《IoT Protection Profile》（《物聯網信息安全國際技術規範》）包含安全芯片和安全通信模塊兩部分，其中《IoT Secure Communication Protection Profile》(《物聯網安全芯片技術規範》)現已正式全球發佈（點擊即可下載）。

 

2019年3月美國立法者向國會提出了一項兩黨法案，該法案將要求向政府出售設備的物聯網製造商遵守美國國家標準與技術研究院（National Institute of Standards and Technology）制定的指導方針。該法案被稱爲《2019年物聯網網絡安全改進法案》(the Internet of Things Cybersecurity Improvement Act of 2019)，是聯邦立法第三次要求聯網設備製造商採取安全措施。自2017年以來，美國國會每年都會提交一份監管物聯網安全的法案。

 

克里斯汀•里昂(Christine Lyon)表示，因爲加州的法律適用於在該州銷售給消費者的任何設備，而且製造產品的類型非常多，因此該法律的影響可能是全國性的。

 

她說：“因爲法律的要求並不繁重，也因爲爲加州市場單獨創造一個特殊版本的產品很耗時，所以公司可能會在所有產品上實施這些改變。”

 

結合《加州消費者隱私法案》（CCPA），該法律將對公司的隱私和數據安全性賦予新的責任和限制。

 

Tomaschek是ProPrivacy.com的數據隱私倡導者，他在一份聲明中說：“CCPA的頒佈將成爲不僅在加州，而且在整個美國的數據隱私的分水嶺。由於全國乃至全球範圍內任何服務於加州消費者的適用企業都將被要求遵守法律，因此很多公司都在加緊實現合規。”

 

更多物聯網安全資訊盡請關注“奧航智訊”微信公衆號。點擊“閱讀原文”可查看2016年《加州違規報告》原文

 

原文鏈接：

https://www.darkreading.com/iot/californias-iot-security-law-causing-confusion/d/d-id/1335863