美参议员提出物联网安全部署法案，为政府采购立下安全门坎

 这项法案希望透过立法为美国政府未来采购物联网装置设下安全门坎，包括装置必需能够修补，不使用固定密码或含有任何已知漏洞、建立物联网装置的安全要件、要求国土安全部揭露漏洞予物联网供货商等等。

美国4名参议员在本周二(8/1)提出了物联网网络安全改善法案( Internet of Things Cybersecurity Improvement Act of 2017)，盼能促进立法以对美国政府所购买的IoT装置建立安全门坎。

根据估计，全球的物联网装置数量到2020年将会超过200亿个，这些装置所搜集与传递的数据可用来造福产业与消费者，但同时也会造成安全上的挑战，有些装置采用固定密码且经常无法修补，让物联网装置成为安全漏洞，可能危及整个网络。

近来发生的几起安全事件都与IoT装置有关，黑客利用IoT装置的安全漏洞建置了庞大的殭尸网络，针对特定网站、代管服务供货商及网络架构供货商发动分布式阻断服务攻击。

参议院网络安全核心小组主席之一的Mark Warner表示，虽然他们很期待物联网所带来的创新与生产力，但也一直担心市场上有太多没有适当安全措施的IoT装置，此一立法将替联邦政府的IoT装置采购案建立完整又有弹性的准则，得以补救明显的市场失灵状态，并鼓励制造商于产品安全性的互相竞争。

该法案的内容涵盖了IoT制造商应确保出售给政府的装置能够修补，不得使用固定密码或含有任何已知漏洞;指导美国行动管理与预算局针对IoT装置建立安全要求;指导国土安全部制定有关网络安全漏洞揭露政策的指导方针予IoT供货商;针对那些利用黑客技术寻找装置漏洞的安全研究人员提供法律上的保障;要求每个使用IoT的部门清点这些装置。

哈佛大学的Berkman Klein网络暨社会研究中心共同创办人Jonathan Zittrain表示，IoT装置带来新兴的安全问题，在购买IoT装置之后，这些问题可能会持续数月或数年之久，此一法案利用联邦采购市场的势力，而非借助直接规范制造商，来鼓励制造商在产品中部署基本的安全措施，将让所有人受益，包括非政府机关的采购者。