隨著各國政府開始考慮對物聯網安全問題採取法律行動,那麼法律制裁威脅會不會迫使設備製造商優化安全性能?
近幾個月來,對物聯網設備安全問題廠家採取法律行動的威脅大幅提高,各國政府機構明確表明,安全鬆懈的現狀不能再持續下去,他們正在採取措施予以打擊。
美國聯邦貿易委員會去年對一系列D-Link路由器缺乏安全性提起訴訟,儘管D-Link強烈反對這一說法,並極力為自己辯護,但外界普遍期望政府和消費者針對物聯網安全問題採取進一步行動。
去年七月,美國聯邦調查局(FBI)發佈了“公共指導”,鼓勵家長舉報連網兒童玩具的安全性較低問題,這些連網玩具可能會留下與兒童相關的數據信息,易被犯罪分子利用來傷害兒童。美國聯邦調查局表示,如果發現製造商在數據安全方面存在缺陷,他們將面臨來自聯邦貿易委員會的法律訴訟。
英國政府同樣也在關注糟糕的物聯網安全問題。國家警察局犯罪行動委員會主任邁克.巴頓警告說,隨著越來越多普通家庭用品與網絡連接,物聯網的危險隨之而來。他敦促消費者“做足功課”,確保所購買產品的安全性,並在購買和使用方面做出適當選擇。
更嚴重的是,在經濟處罰方面,英國政府去年8月份證實,他們打算在英國退出歐盟之前將歐盟委員會的“通用數據保護條例”(GDPR)全面納入英國法律。這意味著那些負責管理物聯網數據庫,包括物聯網數據傳輸和數據存儲的公司將面臨高達1700萬英鎊的高額罰款。
在物聯網合規方面,英國政府也對智能汽車和貨車提出安全要求。政府擔心黑客可能以車輛為目標入侵個人數據,盜取車輛,甚至“蓄意”控制它們,換句話說,就是讓它們癱瘓。
英國政府要求開發智能車輛的工程師必須加強網絡保護,幫助“抵禦”黑客攻擊。
與此同時,美國國會推出一項法案,該法案旨在禁止向政府出售不能被修補或更改密碼的物聯網設備。該法案要求向聯邦政府出售的物聯網設備必須具有可升級修復的功能,並且不得采用硬編碼密碼。根據該法案,聯邦機構仍然能夠購買不合格的物聯網設備,但是隻有得到美國管理和預算辦公室的批准才可以。
安全供應商Tripwire首席安全工程師特拉維斯·史密斯說:“該法案將幫助解決一些已知問題所帶來的麻煩,每天有很多物聯網設備被黑客攻擊。”
但是,他警告說:“要使這項法案獲得成功,就需要鼓勵廠商將他們的設備達到安全狀態。讓一個設備沒有安全漏洞是費時費錢的,隨著許多這樣的設備成為了一個商品,推遲它們的上市時間或收取更高的費用可能不符合他們當前的商業模式。”
法律訴訟不可避免?
如果物聯網設備製造商不採取行動,在目前的政治和媒體環境下,法律訴訟幾乎是不可避免,這種行動如何體現,會因國家而異。至於英國,BLM律師事務所合夥人韋斯特說:“通常與產品責任有關的安全索賠,根據英國《消費者保護法》中產品缺陷或者產品不符合質量要求,以合同違約處理。”
“法院將需要確認在物聯網產品中缺乏安全性是否歸類為產品缺陷或產品不符合質量要求,如果是這樣,將會採取法律措施。”
不過,韋斯特補充說:“這類案件也有因果關係需要考慮。例如,如果車門鎖定系統被認為不足以防止小偷盜竊,小偷應該對盜竊負責,而不是汽車缺乏安全性;同樣,如果物聯網設備被黑客攻擊而造成損害,應該認為損害是由黑客造成,而不是設備缺乏安全性。這些因果關係限制了索賠的可能性。”
安全解決方案公司Positive主管加洛威說:“訴訟威脅和名譽受損的可能性或許是強化安全的重要推動力,因為名譽受損意味著收入減少。同時,公開宣傳和討論漏洞也可能會發揮重要作用。”
加洛威繼續說道:“例如,在Mirai黑客攻擊事件影響到德國電信公司客戶的路由器後,該電信公司表示將重新審查與路由器供應商Arcadyan的業務合作關係,因為所有三種有缺陷路由器型號都來自該廠商。”
黑鴨公司安全策略副總裁、物聯網系統開源軟件安全專家Mike Pittenger表示,如果損害聲譽還不足以引起企業重視,那麼安全落後的企業將面臨破產風險。
不安全的物聯網設備使互聯網以及依賴可靠通信渠道的服務面臨風險。很快,政府機構和消費者無疑會下定決心不再容忍。
閱讀更多 物聯之家網 的文章
