Чому вас має хвилювати закон про розумний будинок, який щойно ухвалили в Каліфорнії
У Каліфорнії щойно був підписаний закон про перший в історії Америки закон про безпеку розумного дому, але, незалежно від того, де ви живете, про це, напевно, варто нагадати.
Законопроект (SB-327) передбачає, що з 1 січня 2020 року всі виробники пристроїв Інтернету речей (розумні колонки, розумні термостати тощо) мають включати «розумні» функції безпеки. По суті, йдеться про захист усіх підключених пристроїв від зловмисників. розуми, які інакше могли б втручатися в них поза межами вашого дому.
Прочитайте це: битва за безпеку вашої домашньої техніки почалася
Законопроект викликав багато дискусій, деякі вихваляли законодавство та підкреслювали важливість раннього закладення цих основ, але інші критикували його як неефективний і навіть шкідливий. Давайте розберемо це.
Добре, що насправді робить законопроект?
Основний указ законопроекту передбачає, що виробники пристроїв Інтернету речей повинні оснащувати свої технології «розумними» функціями безпеки, які запобігатимуть «несанкціонованому доступу, знищенню, використанню, модифікації або розголошенню» інформації користувача.
Одна конкретна вимога, викладена в законопроекті, полягає в тому, що будь-яка техніка розумного дому, доступ до якої доступна за межами локальної мережі, повинна мати унікальний пароль для цього пристрою або дозволяти користувачам встановлювати унікальний пароль під час налаштування пристрою.
Деякі розумні домашні пристрої постачаються з жорстко закодованими паролями, до яких сторонні особи зі зловмисними намірами можуть отримати доступ (ці паролі часто легко доступні в Інтернеті), щоб віддалено зламати.
Так, це вірно, жорстко закодовані паролі все ще є проблемою в розумному домі. Минулого року розслідування, проведене фінською компанією з інформаційної безпеки F-Secure, виявило, що камери домашньої безпеки, створені компанією Foscam, використовували ці жорстко закодовані паролі. Здається смішним, що такий недолік може існувати, але це, на жаль, правда.
Я не в Каліфорнії. Чому я маю піклуватися?
Спокійно, друже. Хоча законопроект був прийнятий лише в Каліфорнії (поки що), наслідки відчують клієнти по всій території США, оскільки ті самі положення безпеки, імовірно, будуть включені в усі пристрої. Тобто ми не можемо передбачити ситуацію, коли такі компанії, як Samsung і Amazon, налаштують свої продукти лише для каліфорнійського ринку.
Навіть якщо пристрій вироблено за межами Каліфорнії чи США, він все одно повинен буде відповідати закону, якщо він збирається продавати свої пристрої в штаті – на випадок, якщо ви подумали, що тут може бути лазівка.
Звучить добре. Чому не всі погоджуються?
Тому що хоча дух законопроекту правильний, експерти з кібербезпеки не думають, що він матиме очікуваний ефект.
Експерт з Інтернету речей Роберт Грем каже, що законопроект базується на «поверхневому розумінні» кібербезпеки, стверджуючи, що він не покращить безпеку. Грем порівнює проблему з дієтою: так як менше їсти є ключовим фактором дієти, кібербезпека має полягати не в додаванні додаткових функцій безпеки, а у видаленні функцій, які є менш безпечними. «Додавання функцій — це типова «чарівна пігулка» або «срібна куля», проти якої ми витрачаємо багато часу на захист інформації», — сказав він.
Грем також розкритикував «розпливчасту» формулювання законопроекту, яка вимагає, щоб пристрої мали «розумні» та «належні» функції безпеки. «Жодна компанія не може знати, що означають ці слова, неможливо знати, чи відповідають вони закону».
Грем також вважає, що акцент на жорстко закодованих паролях є помилковим. Він погоджується, що їх слід видалити, але каже, що «вони неправильно розуміють мову». Він каже, що проблема складніша: типовий пристрій «не має єдиного пароля, але багато речей, які можуть або не можуть називатися паролями».
Інші експерти погоджуються, що мова подекуди є надто розпливчастою, вважаючи, що правила здебільшого залишаються невизначеними. Дійсно, у законопроекті неодноразово стверджується, що положення повинні бути «відповідними» для пристрою без вказівки особливостей. Але деякі припускають, що це формулювання є навмисним, оскільки воно дозволяє виробникам пристроїв адаптуватися та розвиватися разом із технологією.
Асоціація виробників і технологій Каліфорнії також підняла те, що законопроект може зменшити конкуренцію в штаті, але, як ми вже говорили вище, здається малоймовірним, що компанії розглядатимуть створення пристроїв, які будуть більш безпечними в Каліфорнії, ніж в інших штатах. Більше того, ймовірно, що інші штати підуть стопами Каліфорнії.
Загалом, це буде початком довшої розмови. Серце купюри в правильному місці; все це важливо для забезпечення безпеки розумного будинку. Але це триватиме обговорення до та після січня 2020 року.