Cât de departe merge legea pentru securitate IoT din California
O lege care va intra în vigoare în ianuarie 2020 în statul California din SUA obligă producătorii de dispozitive să le echipeze cu măsuri de securitate rezonabile.
Pe 1 ianuarie 2020, intră în vigoare legea de securitate Internet of Things (IoT) a statului California din SUA. Aceasta este prima lege specifică IoT în Statele Unite și cere ca toate dispozitivele IoT vândute în acest stat să fie echipate cu măsuri de securitate rezonabile, scrie cpomagazine.com.
Între timp au apărut discuții cu privire la tipurile de dispozitive pentru care se aplică legea și ce însemnă măsuri de securitate rezonabile. Oricare producător de dispozitive conectate la internet care își vinde produsele în California va trebui să încorporeze funcții de securitate rezonabile în dispozitivele sale. Nu contează unde este fabricat produsul. De asemenea, legea vizează nu doar companiile care realizează producția ci și alte companii care au contract cu compania producătoare pentru a le fabrica produsele. Legea conține și anumite excepții. Printre acestea se numără vulnerabilitățile de securitate cauzate de utilizator prin instalarea de software de la companii terțe și dispozitivele care se află deja sub reglementarea unor anumite statute de sănătate.
Dispozitivul conectat este definit pe larg. Definiția spune că un dispozitiv conectat este orice dispozitiv sau alt obiect fizic care se poate conecta la internet (chiar și prin împerecherea cu un alt dispozitiv) și are o adresă IP sau Bluetooth.
Această definiție cuprinde o gamă largă de echipamente, inclusiv mașini Xerox, imprimante, fax-uri, telefoane VoIP, televizoare, cititoare Bluetooth, POS-uri, cititoare de coduri de bare, termostate inteligente, cititoare de chei, camere de securitate, becuri, panouri de control a temperaturii ambientale, echipamente pentru laboratoare, echipamente medicale pentru diagnostic, scanere pentru stocul din depozite, frigidere, dispozitive de fitness, ceasuri inteligente, dispozitive conectate și altele.
Legea specifică că parolele simple ce nu pot fi schimbate nu sunt permise și că fiecare dispozitiv trebuie să aibă propria parolă unică sau să ceară utilizatorului să genereze o nouă parolă înainte de a folosi dispozitivul pentru prima dată, scrie mondaq.com.
Legea din California nu este singura care vizează securitatea dispozitivelor conectate. Cu 25 de miliarde de dispozitive la care se așteaptă să facă parte din lumea IoT, legislatorii cer producătorilor de dispozitive să crească nivelul de control.
Întrebarea care se pune este dacă o simplă remediere a metodei de autentificare este suficientă pentru majoritatea dispozitivelor sau companiile trebuie să adere la un standard mai riguros, precizează darkreading.com.
Funcțiile de securitate rezonabile trebuie să protejeze informațiile utilizatorului împotriva accesului, modificării sau dezvăluirii neautorizate. Christine Lyon, partener în domeniul confidențialității la firma Morrison & Foerster spune că legea este specifică doar autentificării și că pare suficient, însă în timp vor apărea mai multe prevederi specifice legate de funcțiile de securitate cerute. Un alt avocat, însă, este de părere că stabilirea unei autentificări puternice este doar una dintre funcții.
Din fericire, pe 26 februarie 2016, departamentul de justiție al statului California a emis un raport cu privire la breșele de securitate. Acesta analiza 657 de breșe de informații care fuseseră raportate în perioada 2012 – 2015. Raportul definește respectarea a 20 de măsuri de securitate care au fost promulgate într-un document care este baza unei securității cibernetice și protecții a datelor în mod rezonabil, scrie securityinfowatch.com.
Părțile private nu au autoritatea de a da în judecată ci legea deleagă punerea în aplicare de către avocatul statului California, avocații orașului, consilierii districtului și avocații districtului. Legea nu precizează, de asemenea, ce tipuri de sancțiuni pot aplica funcționarii pentru încălcarea legii, care sunt sancțiunile maxime sau dacă funcționarii trebuie să demonstreze că a avut loc un prejudiciu real pentru consumatori înainte de a aplica sancțiuni.
