TTO – Vừa qua, Thống đốc California Jerry Brown đã thông qua luật an ninh mạng dành riêng cho công nghệ IoT nhằm đặt ra tiêu chuẩn chung cho các nhà sản xuất thiết bị kết nối.
Đạo luật yêu cầu các nhà sản xuất thiết bị kết nối ở California phải trang bị cho sản phẩm các tính năng bảo mật “hợp lý” phù hợp với “tính chất và chức năng của thiết bị”, đồng thời đặt ra tiêu chuẩn về các tính năng xác thực.
Theo đó, xác thực được xem là “hợp lý” nếu thiết bị được lập trình sẵn với một mật khẩu duy nhất hoặc nếu thiết bị yêu cầu người dùng tạo phương thức xác thực mới trước lần sử dụng đầu tiên.
Những tiêu chuẩn như vậy sẽ làm giảm mối đe dọa từ các phần mềm độc hại, ngăn chặn phần mềm độc hại sử dụng tên người dùng và mật khẩu mặc định để tấn công các thiết bị, giảm các cuộc tấn công thông qua lỗ hổng…
Ngoài ra, các nhà sản xuất phải có nghĩa vụ tích hợp bảo mật ngay từ giai đoạn thiết kế để bảo vệ người dùng chống lại các hành vi “truy cập, sử dụng, sửa đổi hoặc tiết lộ thông tin trái phép”, tập trung vào các mối quan tâm của người dùng, xác định trách nhiệm pháp lý đối với các điểm không an toàn của IoT, chú trọng triển khai các thiết bị IoT một cách an toàn hơn…
Luật này bắt đầu hiệu lực từ ngày 1-1-2020 và các nhà sản xuất sẽ có gần hai năm chuẩn bị cho việc thực thi pháp luật.
Đây cũng được xem là một trong những đạo luật chính thức đầu tiên liên quan đến IoT được ban hành tại Mỹ nói riêng và trên toàn thế giới nói chung.
Trước đó, các đề xuất như cải tiến an ninh mạng, luật DIGIT, luật SMART IoT, luật về người dùng IoT… đã được quốc hội Mỹ thảo luận, nhưng đều chỉ dừng ở các giai đoạn khác nhau của quy trình lập pháp và chưa trở thành luật.