加利福尼亚州州长杰里⋅布朗签署了一项涵盖“智能”设备的网络安全法,使加州成为第一个拥有此类法律的州。该法案SB-327于去年推出,并于8月底通过了州参议院的审议。从2020年1月1日开始,任何“直接或间接”连接到互联网的设备制造商必须为其配备“合理”的安全功能,旨在防止未经授权的访问,修改或信息泄露。
设备如果可以使用密码在局域网外访问,则需要为其个体提供唯一的密码,或强制用户在第一次连接时设置自己的密码,这意味着没有更多通用的默认凭据供黑客猜测。
该法案被一些人称赞为良好的第一步,也有人批评其模糊性。网络安全专家罗伯特⋅格雷厄姆一直是其最严厉的批评者之一。他认为,通过专注于添加“好”功能而不是删除那些打开设备直至导致攻击的不良功能,会导致安全问题倒退。他认为立法要求设立密码没有问题,但并未涵盖“可能会或可能不会被称为密码”的所有身份验证系统,这仍然可能让制造商留下那种允许毁灭性Mirai僵尸网络传播的安全漏洞。
包括哈佛大学同事布鲁斯施奈尔在内的其他人表示,这是一个良好的开端。 “这可能还远远不够 - 但是没有理由不通过它,”。虽然该规则仅适用于全州,但任何在加利福尼亚州销售产品的设备制造商都会将安全特性实施到其它州。
国会已经提出了几项与物联网相关的法案,但暂时还没有一项法案进入投票环节。2017年物联网网络安全改进法案将为政府购买的连接设备设定最低安全标准,但不包括电子设备。2017年的物联网消费者TIPS法案将指导联邦贸易委员会为连接设备周围的消费者开发教育资源,并且SMART IoT法案将要求商务部对该行业的状况进行研究。