美国国会提出新的《物联网网络安全改进法案》

2016年，Mirai僵尸网络等攻击导致了几个热门网站发生瘫痪，并由此引发了人们对物联网（IoT）设备安全需求的关注。自那以后，美国国会一直试图通过有关物联网安全的立法。其中包括2017年的一次失败的尝试，当时参议员们提出了一项法案，阻止政府购买存在少数几种明显安全漏洞之一的联网设备。国会再一次试图通过立法，但这一次的法案更让人喜欢。

2019年的《物联网网络安全改进法案》（Internet of Things Cybersecurity Improvement Act）并没有像2017年的法案那样，试图明确规定如何保护联网设备。相反，它的目标是建立一个框架，政府可以使用这个框架来确定安全联网设备所需的特征的清单。让人看好的是，该法案将确定安全设备要求的任务分配给了熟知技术的美国国家标准与技术研究院（NIST）。然后将由管理和预算办公室（OMB）来指导联邦机构如何采用NIST的指南。

一些安全专家担心，这种分两步走的方法将导致机构的安全标准降低，因为即使NIST制定了强有力的标准，OMB也可能要求一些或所有联邦机构忽略部分甚至全部标准。但这未必是件坏事：国家公园管理局可能不需要与国防部同样的安全指南。

在对物联网进行了7年的报道后，我了解到，有两条至关重要的规则构成了任何好的立法的基础。首先，是认识到好的安全性有赖于从一开始就考虑安全性。这可能听起来很明显，但是如果你在为退伍军人医院购买输液泵，你可能会把重点放在购买最好的输液泵上，而不是确保它免受网络威胁。但对于物联网来说，安全必须是其基本功能的一部分，因此安全专业人员应该深入参与设备的设计和采购。构成好的安全立法基础的第二条规则是，政府机构必须明白，在一个互联的世界里，良好的安全性是一个持续的处理过程，而不是你可以设置好后就置于脑后的东西。

这就是为什么下面这一点是令人鼓舞的：该法案要求NIST每五年评估一次设备安全性并更新政府的标准。当然，对于联网设备和技术来说，其生命周期可能最多也就5年，但这只是一个开始。

我不知道该法案是否会被委员会通过，也不知道如果通过的话它会是什么样子，但就目前的情况来看，我想再添加一些可以帮助其通过和实施的元素。首先，我希望NIST有一项预算是用于创建漏洞和安全要素列表及管理之后的漏洞披露的。

我还希望看到针对政府权限下的所有当前不安全设备的一些修复计划。政府在许多地方使用计算机和联网设备，包括用于导弹拦截的武器系统和国家公园内的野生动物跟踪系统。显然，当涉及导弹而不是北美驯鹿时，缺乏安全性会更令人不安，但政府应该考虑如何保护那些设备的安全，而不仅仅是考虑在网络安全法案生效后购买什么设备。

本文将刊载在2019年5月期的印刷版IEEE Spectrum上，标题为“IoT Security Go to Washington”。