华盛顿开始关注物联网安全

2016年，Mirai僵尸网络的攻击导致多个常用网站瘫痪，人们也由此意识到了对物联网设备安全性的需求。从那之后，美国国会开始尝试通过有关物联网安全的立法，包括2017年的一项不成熟的法案。当时议员提出一项议案，旨在防止政府采购存在少量明显安全漏洞的联网设备。今年，美国国会再次尝试通过立法，这次法案的内容更丰富。

《2019物联网网络安全改进法》（Internet of Things Cybersecurity Improvement Act of 2019）并不是像2017法案那样专门为了保护联网设备。2019法案旨在建立政府可以利用的框架，从而确定安全联网设备需具备的特征列表。该法案很有可能会把确定对安全设备的要求这一任务分配给美国国家标准与技术研究院（NIST）。因此，需要由美国行政管理和预算局（OMB）来指导联邦机构如何适用NIST指南。

一些安全专家担心这种两步法会导致机构的安全标准降低，因为即便NIST制定了强大的标准，OMB也可能会让部分或者所有机构忽略一部分甚至整个标准。不过这也不一定就是坏事，比如美国国家公园管理局需要的安全指南很可能与国防部所需的指南不一样。

进入物联网行业的7年间我学习到，良好立法的基础有两个关键规则。首先就是要理解，良好的安全性就是要把安全作为重中之重。这似乎是显而易见的事，但如果你为美国退伍军人事务医院采购注入泵，就很可能会注重购买最好的注入泵，而不会关注与之相关的网络安全威胁问题。实际上，在物联网中，基本功能中必须包括安全，因此设备的设计和采购过程中应当有网络安全专家参与。第二条规则是，政府机构必须知道，在互联的世界里，高安全性是一个持续的过程，而不是一劳永逸的事。

因此，我们很高兴看到该法案要求NIST每5年必须对设备的安全性进行评估并更新政府的相关标准。当然，对于处处都是联网设备且技术不断更新的社会来说，5年似乎很漫长。不过这仅仅是一个开始。

不知道委员会会不会通过该法案，也不知道如果通过，它会以怎样的面貌呈现。不过以现在的情况来看，我愿意为它添砖加瓦，帮助其更加细化。首先，希望NIST能够有固定的预算来创建安全漏洞和安全要素清单，并管理之后有关安全漏洞披露的事宜。

此外，也希望能够有一些有关目前政府管辖范围内所有不安全设备的补救计划。美国的政府机构在很多地方都使用了计算机和联网设备，包括导弹拦截的武器系统和国家公园的野生动物跟踪。显然，比起驯鹿来，导弹问题缺乏安全保障更容易让人紧张不安。政府应该考虑的是如何保护现有一切的安全，而不仅仅是考虑网络安全法案生效后会带来什么。