美国参议院在花一周的感恩节休息前几天,如果总统批准,美国参议院将通过一个近似平凡的网络安全法案,将改善联邦政府购买和拥有的物联网(物联网)设备的安全准则和议定书。

账单,叫做事物互联网网络安全改进法案为2020年,实际上是去年推出的美国众议院。参议院同意在11月17日在“一致同意”下通过立法,这意味着一个参议员 -在这种情况下,参议员罗布特曼of俄亥俄州- 在没有任何同事的情况下通过任何单一反对的法案来通过。这并不意味着该法案得到了一致的投票。在参议院通过立法时,程序举措很少见。

在通道中,网络安全公司Rapid7的公共政策主任Harley Geiger高度评价了票据。

“这可以说是迄今为止最重要的美国物联网网络安全法,以及促进私营部门通过协调脆弱性披露的最重要的法律,”莱格特写在公司博客帖子。“IOT安全被广泛被认为是全球优先级,漏洞披露过程是基本安全实践,因此该法案的通过应该被视为网络安全和安全社区的一个非常积极的一步。”

该法案主要关注指导方针和程序。

首先,2020年的IOT改善法案如果签署法律,将要求国家标准和技术研究所(NIST)署署长制定和公布“联邦政府的标准和准则”,以通过各机构的适当使用和管理物联网设备。“

这些标准将适用于联邦政府机构拥有和控制的IOT设备,并必须为安全开发,身份管理,修补和配置管理提供指导。

在本体董事发布这些准则后,该法案将要求管理办公室董事和预算办公室审查当前的信息安全政策和联邦民用机构的原则,并确保这些政策与NIST的最新指南汇总。该审查还需要与网络安全和基础设施安全机构或CISA的主管协调,直到上周,是克里斯克里斯举行的职位

此外,目前的购买和拥有物联网设备的收购规则必须根据条例草案通过后所需的NIST指南更新。作为这些要求的一部分,如果该机构的首席信息官发现这样的设备缺乏新强加的规则,则不会允许政府机构购买物联网设备。

最后,该法案要求NIST还会开发在其拥有或控件的IOT设备中发现和披露漏洞的准则。

2020年的物联网网络安全改善法案为联邦政府在将安全规定置于IIT设备上的重要第一步。正如我们所拥有的那样反复编写-并说话-iot安全是一种新生的景观,跨越设备缺乏标准化意味着我们以某种方式更安全,更适合网络犯罪分子。

正如Adam Kujawa在我们这个月对IoT Cyber​​security的播客对IoT网络安全的那样,我们为某种传播安全性的最优势是有不同的平台,不同的框架和不同的协议,这使得任何单一的网络犯罪分子都会越来越难以发射广泛 -缩放攻击。

At the same time, though, Kujawa said that this scenario “works against us in the sense that developing security tools in order to protect these devices is just as difficult because you can’t create one solution that will necessarily work on every single device.”

2020年的物联网网络安全改进法案可以帮助迎来一个未来的IOT设备制造商可以为他们的产品展示一组指导方针。虽然该法案不需要这些标准将应用于一般消费者购买的设备,但指导本身仍然有助于创造商定的安全目标。

通过参议院的一致同意,总统不应该有几乎没有理由签署2020年的IOT网络安全改进行为。