Калифорния току що се превърна в първия щат, който официално признава значимостта на киберсигурността за благополучието на гражданите. Губернатор Джери Браун прие проекта, отнасящ се до умните устройства, след дълги дебати „за“ и „против“ предложението (SB-327), внесено миналата година. Той ще влезе в сила от 1 януари 2020 г.
Според закона производителите ще бъдат задължени да „снабдят устройството с разумни характеристики за сигурност, които са подходящи за вида и функцията на устройството, подходящи за информацията, която то събира, съдържа или пренася, и проектирани да защитят устройството и информацията, която то съдържа, от неоторизиран достъп, разрушение, използване, модифициране или оповестяване.“.
Това означава, че устройствата биха имали уникални пароли за свързване с мрежите или потребителите ще трябва да настроят собствена парола при първо свързване. Подкрепящите закона твърдят, че той е едно чудесно начало и макар да не покрива всички възможни мерки за сигурност, ще доведе до бъдещи подобрения по отношение на киберсигурността.
Брус Шнайър, технолог по сигурност към Harvard Kennedy School и автор на няколко книги за сигурността в мрежата, каза пред The Washington Post:
„Законът с изисквания към производителите в Калифорния ще помогне на всички.“
Има обаче и яростна критика на въпросния закон. Според нея езикът на правния текст е толкова неясен, че дупките, които оставя, в крайна сметка няма да променят настоящата ситуация. Например, изискването устройствата да имат „разумни“ и „подходящи“ характеристики не казва много. Не можем да очакваме от компаниите да разбират тези думи по един и същи начин, тъй като няма определен стандарт. Така се оставя място за интерпретация за спазването на закона.
Робърт Греъм, известен експерт по киберсигурност, написа в блога си “Errata Security”:
„Това е типично лош законопроект, базиран на повърхностно разбиране на киберсигурността/хакването, който ще направи малко, за да подобри сигурността, но ще го направи на висока цена за производителите и иновацията. […] Законопроектът се цели в една незащитена характеристика, която трябва да бъде премахната: паролите, кодирани в хардуера. Но езикът е грешен. Дадено устройство няма една единствена парола, а много други неща, които могат или не могат да се нарекат пароли.“
