Amerikan ensimmäinen älykkään kodin turvalaki on juuri allekirjoitettu Kaliforniassa – mutta asuinpaikastasi riippumatta, se on jotain, josta sinun pitäisi luultavasti perehtyä.
Lakiehdotus (SB-327) määrää, että 1. tammikuuta 2020 alkaen kaikkien IoT-laitteiden valmistajien – älykaiuttimien , älytermostaattien , mitä sinulla on – on sisällytettävä "kohtuulliset" suojausominaisuudet. Pohjimmiltaan kyse on kaikkien yhdistettyjen laitteiden suojaamisesta haitallisilta vaikutuksilta. mielet, jotka muuten voisivat peukaloida niitä kotisi ulkopuolelta.
Lue tämä: Turvataistelu kodin tekniikasta on alkanut
Lakiesitys on herättänyt paljon keskustelua, ja jotkut ovat ylistäneet lainsäädäntöä ja korostaneet perustan luomisen tärkeyttä ajoissa – mutta toiset ovat arvostelleet sitä tehottomuudesta ja jopa haitallisuudesta. Puretaan se.
Ok, mitä laskulla oikeastaan tehdään?
Lakiehdotuksen keskeisessä määräyksessä määrätään, että IoT-laitteiden valmistajien on varustettava tekniikkansa "kohtuullisilla" turvaominaisuuksilla, jotka estävät käyttäjätietojen "luvaton pääsyn, tuhoamisen, käytön, muuttamisen tai paljastamisen".
Yksi lakiehdotuksessa esitetty erityinen vaatimus on, että kaikilla älykotitekniikalla, jolla on tapoja käyttää lähiverkon ulkopuolella, on oltava yksilöllinen salasana kyseiselle laitteelle tai käyttäjien on annettava yksilöllinen salasana laitteen käyttöönoton yhteydessä.
Joissakin älykodin laitteissa on kovakoodatut salasanat, joihin ulkopuoliset voivat päästä käsiksi (nämä salasanat ovat usein helposti saatavilla verkosta) murtautuakseen sisään.
Kyllä, niin on, kovakoodatut salasanat ovat edelleen ongelma älykodissa. Suomalaisen tietoturvayhtiö F-Securen viime vuonna tekemässä tutkimuksessa selvisi, että Foscamin rakentamat kodin turvakamerat käyttivät näitä kovakoodattuja salasanoja. Tuntuu naurettavalta, että tällainen virhe voisi olla olemassa, mutta se on valitettavasti totta.
En ole Kaliforniassa. Miksi minun pitäisi välittää?
Rauhallisesti, kaveri. Vaikka lasku on hyväksytty (toistaiseksi) vain Kaliforniassa, vaikutukset tuntuvat asiakkailla kaikkialla Yhdysvalloissa, koska samat turvallisuusmääräykset sisältyvät oletettavasti kaikkiin laitteisiin. Emme siis voi ennakoida tilannetta, jossa Samsungin ja Amazonin kaltaiset yritykset säätelevät tuotteitaan vain Kalifornian markkinoille.
Vaikka laite on valmistettu Kalifornian tai Yhdysvaltojen ulkopuolella, sen on silti noudatettava lakia, jos se aikoo myydä laitteitaan osavaltiossa – jos luulit, että siellä saattaa olla porsaanreikä.
Kuulostaa hyvältä. Mikseivät kaikki ole samaa mieltä?
Koska vaikka lakiehdotuksen henki on oikea, kyberturvallisuusasiantuntijat eivät usko, että sillä on haluttuja vaikutuksia.
IoT-asiantuntija Robert Graham sanoo, että lakiehdotus perustuu "pinnalliseen ymmärrykseen" kyberturvallisuudesta ja väittää, että se ei paranna turvallisuutta. Graham vertaa ongelmaa laihduttamiseen: sillä tavalla, että vähemmän syöminen on laihduttamisen avain, kyberturvallisuuden ei pitäisi olla tietoturvaominaisuuksien lisäämistä, vaan vähemmän turvallisten ominaisuuksien poistamista. "Ominaisuuksien lisääminen on tyypillistä" taikapilleriä" tai "hopealuotia", kun ajatellaan, että vietämme suuren osan ajastamme infosecissä taistelemalla vastaan", hän sanoi.
Graham kritisoi myös lakiehdotuksen "epämääräistä" kieltä, joka vaatii laitteilla "kohtuullisia" ja "asianmukaisia" turvaominaisuuksia. "Yrityksen on mahdotonta tietää, mitä nämä sanat tarkoittavat, mahdotonta tietää, ovatko ne lain mukaisia."
Graham uskoo myös, että keskittyminen kovakoodattuihin salasanoihin on harhaanjohtavaa. Hän on samaa mieltä, että ne pitäisi poistaa, mutta sanoo, että "he ymmärtävät kielen väärin". Hän sanoo, että ongelma on monimutkaisempi: tyypillisessä laitteessa "ei ole yhtä salasanaa, mutta monia asioita, joita voidaan tai ei voida kutsua salasanoiksi".
Muut asiantuntijat ovat samaa mieltä siitä, että kieli on paikoin liian epämääräistä, koska he uskovat, että säännöt jätetään enimmäkseen määrittelemättä. Lakiehdotuksessa todetaankin toistuvasti, että säännösten tulee olla "sopivia" laitteelle ilman, että siinä määritellään yksityiskohtia. Jotkut ovat kuitenkin ehdottaneet, että tämä sanamuoto on tarkoituksellinen, koska sen avulla laitevalmistajat voivat mukautua ja kehittyä tekniikan mukana.
Toinen California Manufacturers and Technology Associationin esille ottama seikka on, että lakiehdotus voisi karkottaa kilpailun osavaltiosta, mutta kuten edellä totesimme, näyttää epätodennäköiseltä, että yritykset harkitsisivat laitteiden luomista, jotka ovat turvallisempia Kaliforniassa kuin muut osavaltiot. Lisäksi on todennäköistä, että muut osavaltiot seuraavat Kalifornian jalanjälkiä.
Kaiken kaikkiaan tämä on pitkän keskustelun alku. Laskun sydän on oikeassa paikassa; kaikki tämä on tärkeää älykodin turvallisuuden kannalta. Mutta siitä tulee jatkuva keskustelu ennen tammikuuta 2020 ja sen jälkeen.