美国加利福尼亚州参议院法案327信息隐私:连接设备(SB 327)将于2020年1月生效. 这对你来说意味着什么? 即使您的组织不开发物联网(IoT)设备, SB 327值得效仿. 由于其范围和广度,它处于一种独特的情况, 不仅仅是为了隐私和安全, 同时也影响了基于隐私的法律的执行和监管.
可以把它看作是隐私领域的新领域. 我们现在看到,立法者正在通过立法制定隐私和安全要求来承担社会责任, 虽然没人会说这是件坏事, 立法者如何决定这些法律的内容?
此外,在监管方面,尚不清楚SB 327将如何执行. 立法者制定某些规定的意图并不总是显而易见的. 事实上, 其指导方针是让组织使用“合理的安全功能”来保护物联网设备. 这意味着只有时间才能告诉我们SB 327将在多大程度上受到监管,因为目前还没有执行法律的先例.
我们从哪里开始解决为互联网连接设备提供安全和隐私控制的模糊要求? 没有更多关于法律将如何执行的信息, 我们只能从以下最佳实践开始:
- 开放Web应用程序安全项目(OWASP)物联网前10名
- 英国政府的消费者物联网行为准则
- 欧盟网络安全机构(ENISA)的建议
像这样的框架是一个很好的起点, 但即使有这些隐私和安全措施, 组织有责任构建自己的安全开发程序. 现有框架有助于构建安全漏洞的分类, 但这不是一件容易的事, 如果你想自己做,你可能需要自己的安全专家团队.
sb327法案的重要性尚不清楚,其社会和行业影响仍有待观察. 在一个技术发展速度超过立法者立法能力的时代, 一部能够延伸到其管辖范围之外的法律,可能会成为许多帮助塑造我们每天使用我们所依赖的设备方式的法律中的第一部.
读读纳坦尼尔·穆罕默德和法伯德·福马尼最近的著作 杂志 文章:
"将安全构建到物联网设备中," ISACA杂志, 2019年第6卷.
