Kalifornia besokallt a hackerektől

Kalifornia besokallt a hackerektől

Kalifornia besokallt a hackertámadásoktól

biztonság

2 perc

Jerry Brown, Kalifornia kormányzója aláírta a számítógépes biztonságra vonatkozó törvényt, amely kitér az okoseszközökre is. Ezzel Kalifornia lett az első állam, amely törvényt alkotott ebben a kérdésben. Az SB-327-es számú törvényjavaslatot még tavaly mutatták be, és az állam szenátusa elé augusztus végén került.

2020 január elsejétől minden olyan eszköz gyártójának, amely közvetlenül vagy közvetve csatlakozik az internethez, kötelessége lesz termékeit „ésszerű” biztonság védelemmel ellátnia, hogy ezáltal elejét vegye a jogosulatlan behatolásoknak, változtatásoknak vagy adatok közzétételének.

Amennyiben egy külső hálózathoz csak jelszóval lehet csatlakozni, akkor mindegy egyes készüléket egyedi jelszóval kell ellátni, vagy arra kell kötelezni a felhasználókat, hogy a jelszó beállítását már az első csatlakozáskor módosítsák.

A törvényjavaslatot sokan dicsérték, mint „jó lépést a helyes irányba”, és ugyanennyien kritizálták homályossága miatt. Robert Graham kiberbiztonsági tanácsadó az egyik leghangosabb kritikus. Szerinte a legnagyobb probléma a szemlélettel az, hogy „jó funkciók” hozzáadására összpontosít ahelyett, hogy a rosszakat akarná eltávolítani – ugyanis utóbbiak miatt támadhatóak az eszközök.

Bár a jelszóvédelmet kifejezetten jó ötletnek tartja, de ezzel nem védhető a teljes rendszer, amely így tele marad biztonsági résekkel, és emiatt akár megismétlődhet a Mirai botnet két évvel ezelőtti pusztító támadása.

A 2016 októberében masszív túlterheléses – DDoS – támadást indító, a Mirai nevű kártevőre épülő botnet a gyenge jelszóvédelemmel rendelkező eszközöket fertőzte meg. Olyan gépeket vont tehát irányítás alá, amelyeknek a gyári jelszóbeállításait nem változtatták meg. A Mirai kódját a 21 éves Paras Jha írta két társával – bár más elméletek szerint ők csak nyilvánosságra hozták a kódot, amit aztán mások használtak fel.

Mások szerint viszont ez egy jó kezdet – például így vélekedik a Harvard Universityn tanító Bruce Schneier is. „Talán nem eléggé részletes, de nincs rá ok, hogy ne fogadják el” – nyilatkozta a Washington Post-nak. Habár a törvény csak az államra terjed ki, minden gyártónak, aki szeretne eladni Kaliforniában, egyaránt ki kell terjesztenie ezeket az előírásokat a többi vevőjére is.

A drasztikusabb szabályozásra még várni kell

Már számos IoT-vel (Dolgok Internete megoldásokkal) kapcsolatos törvényt ismertettek a Kongresszussal, de még egyiket sem terjesztették elő szavazásra. Az IoT kiberbiztonságát növelő tavalyi törvény tartalmaz minimum biztonsági sztenderdeket azokra a csatlakoztatott eszközökre, amelyeket a kormány vásárolt meg, de ez nem általános érvényű az elektronikai eszközökre.

Egy másik esetben az ún. „IoT vásárlói tippek” 2017-es törvény utasítaná a Szövetségi Kereskedelmi Bizottságot arra, hogy oktatási anyagokat dolgozzon ki a vásárlók számára a csatlakoztatott eszközökről. A SMART IoT Act pedig a Kereskedelmi Minisztérium számára írná elő, hogy készítsen tanulmányt az ipar állapotáról.

Forrás: