還有不到一個(gè)月的時(shí)間，全球首部物聯(lián)網(wǎng)安全法將在美國加利福尼亞州啟動(dòng)實(shí)施。由于在技術(shù)標(biāo)準(zhǔn)的生命周期早期沒有充分考慮信息安全問題，以及產(chǎn)品技術(shù)和產(chǎn)業(yè)的高度碎片化，物聯(lián)網(wǎng)IoT安全問題顯得尤為棘手。對(duì)于全球物聯(lián)網(wǎng)產(chǎn)業(yè)和監(jiān)管部門來說，加州物聯(lián)網(wǎng)安全法贏得了極大的關(guān)注度，但遺憾的是，該法律尚未實(shí)施就已經(jīng)暴露出不少潛在問題。

[[285077]]

今年9月，加利福尼亞州州長(zhǎng)杰里·布朗(Jerry Brown)簽署了一項(xiàng)旨在規(guī)范IoT設(shè)備安全性的新法案，該法案將于2020年1月1日正式生效。

加州物聯(lián)網(wǎng)安全法律的初衷是更好地解決“萬物互聯(lián)”給工作場(chǎng)所帶來的風(fēng)險(xiǎn)，但研讀該法規(guī)條文后，給筆者帶來的問題反而多于答案，但無論是經(jīng)驗(yàn)還是教訓(xùn)，加州物聯(lián)網(wǎng)法對(duì)于物聯(lián)網(wǎng)安全專業(yè)人士來說，都值得花些時(shí)間了解。

首先，加州物聯(lián)網(wǎng)法中，對(duì)于“合理的安全功能”缺乏明確定義和指導(dǎo)，這使得相關(guān)企業(yè)和機(jī)構(gòu)組織的合規(guī)工作變得很困難。

在下文中，我們將探討加州物聯(lián)網(wǎng)法的留下的“安全死角”：

加州物聯(lián)網(wǎng)安全法覆蓋設(shè)備范圍定義存疑

該法案將聯(lián)網(wǎng)設(shè)備定義為：“能夠直接或間接連接到互聯(lián)網(wǎng)并被分配了IP地址或藍(lán)牙地址的任何設(shè)備或其他物理對(duì)象”。對(duì)于安全團(tuán)隊(duì)中試圖確定設(shè)備是否符合其公司安全策略的人，該定義可能會(huì)出現(xiàn)問題。聯(lián)網(wǎng)設(shè)備包括從計(jì)算機(jī)到恒溫器、復(fù)印機(jī)和員工個(gè)人健身追蹤器在內(nèi)的所有設(shè)備。更重要的是，Gartner 預(yù)測(cè)聯(lián)網(wǎng)設(shè)備的數(shù)量將持續(xù)增長(zhǎng)，到明年數(shù)量將高達(dá)204億個(gè)，而根據(jù)Juniper Research的預(yù)測(cè)，未來幾年物聯(lián)網(wǎng)設(shè)備數(shù)量年增長(zhǎng)率高達(dá)140%，到2022年，聯(lián)網(wǎng)設(shè)備數(shù)量將接近500億。

毫無疑問，物聯(lián)網(wǎng)設(shè)備給全球企業(yè)帶來高安全風(fēng)險(xiǎn)正在不斷累積，同時(shí)數(shù)量和規(guī)模也在不斷膨脹，企業(yè)迫切需要更加明確不同設(shè)備所應(yīng)給予的不同的安全關(guān)注優(yōu)先級(jí)。(參考閱讀：提高物聯(lián)網(wǎng)安全和可見度的七種工具)

什么才是“合理的”物聯(lián)網(wǎng)安全功能?

根據(jù)新法律，將合理的安全性功能概述為“與設(shè)備的性質(zhì)和功能相適應(yīng)，同時(shí)與設(shè)備所收集、承載或傳輸?shù)男畔⑾噙m應(yīng)，并旨在防止對(duì)設(shè)備及其中所包含的任何信息的未經(jīng)授權(quán)的訪問、破壞、使用、修改或披露。”

此外，來自美國國家律師事務(wù)所BakerHostetler的Daniel Pepper 指出：

換句話說，加州物聯(lián)網(wǎng)安全法對(duì)身份驗(yàn)證和密碼管理提出了更高的要求。但是根據(jù)2016年2月加州司法部發(fā)布的《加州數(shù)據(jù)泄露報(bào)告》，該法案將CIS關(guān)鍵安全控制作為“合理”物網(wǎng)絡(luò)安全的“基礎(chǔ)”。然而，CIS 20并非專門針對(duì)物聯(lián)網(wǎng)設(shè)備，而且，某些CIS控件在物聯(lián)網(wǎng)設(shè)備上的應(yīng)用沒有任何意義。

因此，2016年的報(bào)告和法規(guī)與即將實(shí)施的加州物聯(lián)網(wǎng)新法規(guī)的疊加，可能會(huì)導(dǎo)致企業(yè)產(chǎn)生困惑，例如企業(yè)不知道物聯(lián)網(wǎng)設(shè)備上的電子郵件和Web瀏覽器的安全防護(hù)到底應(yīng)該怎么做?操作智能冰箱或其他智能設(shè)備是否需要安全意識(shí)和培訓(xùn)計(jì)劃?等等。

違規(guī)認(rèn)定和處罰難

正如前文所述，加州物聯(lián)網(wǎng)安全法最大的失誤是采用了并非針對(duì)物聯(lián)網(wǎng)設(shè)備的設(shè)備安全控制規(guī)范。對(duì)于任何擔(dān)心違規(guī)的公司而言，好消息是該法律禁止私人團(tuán)體根據(jù)加利福尼亞州法律提起訴訟。相反，執(zhí)法權(quán)被“專門”授予加利福尼亞州檢察長(zhǎng)，市檢察官，縣法律顧問和地方檢察官。

此外，該法規(guī)的條文中甚至沒有具體說明現(xiàn)有的處罰類型，最高處罰，以及或檢方如何認(rèn)定違法行為。總而言之，不僅對(duì)違規(guī)企業(yè)的處罰缺乏明確依據(jù)，甚至企業(yè)違規(guī)的認(rèn)定都是一個(gè)問題。

正如我在開始時(shí)提到的那樣，加州物聯(lián)網(wǎng)安全法是第一部得以實(shí)施的物聯(lián)網(wǎng)安全法規(guī)，但絕不會(huì)是最后一部。隨著物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)不斷累積，全球各地相關(guān)法規(guī)也將隨之出臺(tái)，而加州物聯(lián)網(wǎng)安全法的不足和缺陷，可以為后來者提供更多經(jīng)驗(yàn)和教訓(xùn)。