華盛頓開始關(guān)注物聯(lián)網(wǎng)安全

2016年，Mirai僵尸網(wǎng)絡(luò)的攻擊導(dǎo)致多個常用網(wǎng)站癱瘓，人們也由此意識到了對物聯(lián)網(wǎng)設(shè)備安全性的需求。從那之后，美國國會開始嘗試通過有關(guān)物聯(lián)網(wǎng)安全的立法，包括2017年的一項不成熟的法案。當(dāng)時議員提出一項議案，旨在防止政府采購存在少量明顯安全漏洞的聯(lián)網(wǎng)設(shè)備。今年，美國國會再次嘗試通過立法，這次法案的內(nèi)容更豐富。

《2019物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法》（Internet of Things Cybersecurity Improvement Act of 2019）并不是像2017法案那樣專門為了保護(hù)聯(lián)網(wǎng)設(shè)備。2019法案旨在建立政府可以利用的框架，從而確定安全聯(lián)網(wǎng)設(shè)備需具備的特征列表。該法案很有可能會把確定對安全設(shè)備的要求這一任務(wù)分配給美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）。因此，需要由美國行政管理和預(yù)算局（OMB）來指導(dǎo)聯(lián)邦機(jī)構(gòu)如何適用NIST指南。

一些安全專家擔(dān)心這種兩步法會導(dǎo)致機(jī)構(gòu)的安全標(biāo)準(zhǔn)降低，因為即便NIST制定了強(qiáng)大的標(biāo)準(zhǔn)，OMB也可能會讓部分或者所有機(jī)構(gòu)忽略一部分甚至整個標(biāo)準(zhǔn)。不過這也不一定就是壞事，比如美國國家公園管理局需要的安全指南很可能與國防部所需的指南不一樣。

進(jìn)入物聯(lián)網(wǎng)行業(yè)的7年間我學(xué)習(xí)到，良好立法的基礎(chǔ)有兩個關(guān)鍵規(guī)則。首先就是要理解，良好的安全性就是要把安全作為重中之重。這似乎是顯而易見的事，但如果你為美國退伍軍人事務(wù)醫(yī)院采購注入泵，就很可能會注重購買最好的注入泵，而不會關(guān)注與之相關(guān)的網(wǎng)絡(luò)安全威脅問題。實(shí)際上，在物聯(lián)網(wǎng)中，基本功能中必須包括安全，因此設(shè)備的設(shè)計和采購過程中應(yīng)當(dāng)有網(wǎng)絡(luò)安全專家參與。第二條規(guī)則是，政府機(jī)構(gòu)必須知道，在互聯(lián)的世界里，高安全性是一個持續(xù)的過程，而不是一勞永逸的事。

因此，我們很高興看到該法案要求NIST每5年必須對設(shè)備的安全性進(jìn)行評估并更新政府的相關(guān)標(biāo)準(zhǔn)。當(dāng)然，對于處處都是聯(lián)網(wǎng)設(shè)備且技術(shù)不斷更新的社會來說，5年似乎很漫長。不過這僅僅是一個開始。

不知道委員會會不會通過該法案，也不知道如果通過，它會以怎樣的面貌呈現(xiàn)。不過以現(xiàn)在的情況來看，我愿意為它添磚加瓦，幫助其更加細(xì)化。首先，希望NIST能夠有固定的預(yù)算來創(chuàng)建安全漏洞和安全要素清單，并管理之后有關(guān)安全漏洞披露的事宜。

此外，也希望能夠有一些有關(guān)目前政府管轄范圍內(nèi)所有不安全設(shè)備的補(bǔ)救計劃。美國的政府機(jī)構(gòu)在很多地方都使用了計算機(jī)和聯(lián)網(wǎng)設(shè)備，包括導(dǎo)彈攔截的武器系統(tǒng)和國家公園的野生動物跟蹤。顯然，比起馴鹿來，導(dǎo)彈問題缺乏安全保障更容易讓人緊張不安。政府應(yīng)該考慮的是如何保護(hù)現(xiàn)有一切的安全，而不僅僅是考慮網(wǎng)絡(luò)安全法案生效后會帶來什么。