還有不到一個月的時間，全球首部物聯網安全法將在美國加利福尼亞州啟動實施。由于在技術標準的生命周期早期沒有充分考慮信息安全問題，以及產品技術和產業的高度碎片化，物聯網IoT安全問題顯得尤為棘手。對于全球物聯網產業和監管部門來說，加州物聯網安全法贏得了極大的關注度，但遺憾的是，該法律尚未實施就已經暴露出不少潛在問題。

[[285077]]

今年9月，加利福尼亞州州長杰里·布朗(Jerry Brown)簽署了一項旨在規范IoT設備安全性的新法案，該法案將于2020年1月1日正式生效。

加州物聯網安全法律的初衷是更好地解決“萬物互聯”給工作場所帶來的風險，但研讀該法規條文后，給筆者帶來的問題反而多于答案，但無論是經驗還是教訓，加州物聯網法對于物聯網安全專業人士來說，都值得花些時間了解。

首先，加州物聯網法中，對于“合理的安全功能”缺乏明確定義和指導，這使得相關企業和機構組織的合規工作變得很困難。

在下文中，我們將探討加州物聯網法的留下的“安全死角”：

加州物聯網安全法覆蓋設備范圍定義存疑

該法案將聯網設備定義為：“能夠直接或間接連接到互聯網并被分配了IP地址或藍牙地址的任何設備或其他物理對象”。對于安全團隊中試圖確定設備是否符合其公司安全策略的人，該定義可能會出現問題。聯網設備包括從計算機到恒溫器、復印機和員工個人健身追蹤器在內的所有設備。更重要的是，Gartner 預測聯網設備的數量將持續增長，到明年數量將高達204億個，而根據Juniper Research的預測，未來幾年物聯網設備數量年增長率高達140%，到2022年，聯網設備數量將接近500億。

毫無疑問，物聯網設備給全球企業帶來高安全風險正在不斷累積，同時數量和規模也在不斷膨脹，企業迫切需要更加明確不同設備所應給予的不同的安全關注優先級。(參考閱讀：提高物聯網安全和可見度的七種工具)

什么才是“合理的”物聯網安全功能?

根據新法律，將合理的安全性功能概述為“與設備的性質和功能相適應，同時與設備所收集、承載或傳輸的信息相適應，并旨在防止對設備及其中所包含的任何信息的未經授權的訪問、破壞、使用、修改或披露。”

此外，來自美國國家律師事務所BakerHostetler的Daniel Pepper 指出：

換句話說，加州物聯網安全法對身份驗證和密碼管理提出了更高的要求。但是根據2016年2月加州司法部發布的《加州數據泄露報告》，該法案將CIS關鍵安全控制作為“合理”物網絡安全的“基礎”。然而，CIS 20并非專門針對物聯網設備，而且，某些CIS控件在物聯網設備上的應用沒有任何意義。

因此，2016年的報告和法規與即將實施的加州物聯網新法規的疊加，可能會導致企業產生困惑，例如企業不知道物聯網設備上的電子郵件和Web瀏覽器的安全防護到底應該怎么做?操作智能冰箱或其他智能設備是否需要安全意識和培訓計劃?等等。

違規認定和處罰難

正如前文所述，加州物聯網安全法最大的失誤是采用了并非針對物聯網設備的設備安全控制規范。對于任何擔心違規的公司而言，好消息是該法律禁止私人團體根據加利福尼亞州法律提起訴訟。相反，執法權被“專門”授予加利福尼亞州檢察長，市檢察官，縣法律顧問和地方檢察官。

此外，該法規的條文中甚至沒有具體說明現有的處罰類型，最高處罰，以及或檢方如何認定違法行為。總而言之，不僅對違規企業的處罰缺乏明確依據，甚至企業違規的認定都是一個問題。

正如我在開始時提到的那樣，加州物聯網安全法是第一部得以實施的物聯網安全法規，但絕不會是最后一部。隨著物聯網安全風險不斷累積，全球各地相關法規也將隨之出臺，而加州物聯網安全法的不足和缺陷，可以為后來者提供更多經驗和教訓。