2020 január elsejétől minden olyan eszköz gyártójának, amely közvetlenül vagy közvetve csatlakozik az internethez, kötelessége lesz termékeit „ésszerű” biztonság védelemmel ellátnia, hogy ezáltal elejét vegye a jogosulatlan behatolásoknak, változtatásoknak vagy adatok közzétételének.

Amennyiben egy külső hálózathoz csak jelszóval lehet csatlakozni, akkor mindegy egyes készüléket egyedi jelszóval kell ellátni, vagy arra kell kötelezni a felhasználókat, hogy a jelszó beállítását már az első csatlakozáskor módosítsák.

A törvényjavaslatot sokan dicsérték, mint „jó lépést a helyes irányba”, és ugyanennyien kritizálták homályossága miatt. Robert Graham kiberbiztonsági tanácsadó az egyik leghangosabb kritikus. Szerinte a legnagyobb probléma a szemlélettel az, hogy „jó funkciók” hozzáadására összpontosít ahelyett, hogy a rosszakat akarná eltávolítani – ugyanis utóbbiak miatt támadhatóak az eszközök.

Bár a jelszóvédelmet kifejezetten jó ötletnek tartja, de ezzel nem védhető a teljes rendszer, amely így tele marad biztonsági résekkel, és emiatt akár megismétlődhet a Mirai botnet két évvel ezelőtti pusztító támadása.

A 2016 októberében masszív túlterheléses – DDoS – támadást indító, a Mirai nevű kártevőre épülő botnet a gyenge jelszóvédelemmel rendelkező eszközöket fertőzte meg. Olyan gépeket vont tehát irányítás alá, amelyeknek a gyári jelszóbeállításait nem változtatták meg. A Mirai kódját a 21 éves Paras Jha írta két társával – bár más elméletek szerint ők csak nyilvánosságra hozták a kódot, amit aztán mások használtak fel.

Mások szerint viszont ez egy jó kezdet – például így vélekedik a Harvard Universityn tanító Bruce Schneier is. „Talán nem eléggé részletes, de nincs rá ok, hogy ne fogadják el” – nyilatkozta a Washington Post-nak. Habár a törvény csak az államra terjed ki, minden gyártónak, aki szeretne eladni Kaliforniában, egyaránt ki kell terjesztenie ezeket az előírásokat a többi vevőjére is.

A drasztikusabb szabályozásra még várni kell

Már számos IoT-vel (Dolgok Internete megoldásokkal) kapcsolatos törvényt ismertettek a Kongresszussal, de még egyiket sem terjesztették elő szavazásra. Az IoT kiberbiztonságát növelő tavalyi törvény tartalmaz minimum biztonsági sztenderdeket azokra a csatlakoztatott eszközökre, amelyeket a kormány vásárolt meg, de ez nem általános érvényű az elektronikai eszközökre.

Egy másik esetben az ún. „IoT vásárlói tippek” 2017-es törvény utasítaná a Szövetségi Kereskedelmi Bizottságot arra, hogy oktatási anyagokat dolgozzon ki a vásárlók számára a csatlakoztatott eszközökről. A SMART IoT Act pedig a Kereskedelmi Minisztérium számára írná elő, hogy készítsen tanulmányt az ipar állapotáról.