美參議員提出IoT安全部署法案，為政府採購立下安全門檻

美國4名參議員在本周二（8/1）提出了物聯網網路安全改善法案（ Internet of Things Cybersecurity Improvement Act of 2017），盼能促進立法以對美國政府所購買的IoT裝置建立安全門檻。

根據估計，全球的物聯網裝置數量到2020年將會超過200億個，這些裝置所蒐集與傳遞的數據可用來造福產業與消費者，但同時也會造成安全上的挑戰，有些裝置採用固定密碼且經常無法修補，讓IoT裝置成為安全漏洞，可能危及整個網路。

近來發生的幾起資安事件都與IoT裝置有關，駭客利用IoT裝置的安全漏洞建置了龐大的殭屍網路，針對特定網站、代管服務供應商及網路架構供應商發動分散式阻斷服務攻擊。

參議院網路安全核心小組主席之一的Mark Warner表示，雖然他們很期待物聯網所帶來的創新與生產力，但也一直擔心市場上有太多沒有適當安全措施的IoT裝置，此一立法將替聯邦政府的IoT裝置採購案建立完整又有彈性的準則，得以補救明顯的市場失靈狀態，並鼓勵製造商於產品安全性的互相競爭。

該法案的內容涵蓋了IoT製造商應確保出售給政府的裝置能夠修補，不得使用固定密碼或含有任何已知漏洞；指導美國行動管理與預算局針對IoT裝置建立安全要求；指導國土安全部制定有關網路安全漏洞揭露政策的指導方針予IoT供應商；針對那些利用駭客技術尋找裝置漏洞的安全研究人員提供法律上的保障；要求每個使用IoT的部門清點這些裝置。

哈佛大學的Berkman Klein網路暨社會研究中心共同創辦人Jonathan Zittrain表示，IoT裝置帶來新興的安全問題，在購買IoT裝置之後，這些問題可能會持續數月或數年之久，此一法案利用聯邦採購市場的勢力，而非藉由直接規範製造商，來鼓勵製造商在產品中部署基本的安全措施，將讓所有人受益，包括非政府機關的採購者。