Ask HN: Tôi đang đề xuất quy định về cập nhật bảo mật IoT với tư cách là ủy viên FCC

 (news.ycombinator.com)
1 điểm bởi GN⁺ 2023-09-06 | 1 bình luận | Chia sẻ qua WhatsApp
  • Các lỗ hổng nghiêm trọng trong IoT là chuyện phổ biến, và phải mất quá lâu để những vấn đề này được vá trên các thiết bị của người dùng cuối.
  • Nhiều khi, vào thời điểm bán hàng, người ta không thông báo sản phẩm sẽ được nhà sản xuất hỗ trợ cập nhật bảo mật trong bao lâu.
  • Gần đây FCC đã ban hành thông báo đề xuất quy tắc cho một chương trình dán nhãn an ninh mạng đối với các thiết bị kết nối.
  • Tôi đã mạnh mẽ thúc đẩy việc công bố thời gian sản phẩm sẽ nhận được các bản cập nhật bảo mật trở thành một trong các tiêu chí đó.
  • Nhiều nhà sản xuất phản đối việc đưa ra bất kỳ cam kết nào về cập nhật bảo mật.
  • FCC và Nhà Trắng khó có khả năng đưa ra lập trường cứng rắn nếu họ chỉ lắng nghe phía các nhà sản xuất thiết bị.
  • Bạn đã từng trải nghiệm những vấn đề bảo mật khủng khiếp như giao thức không an toàn, khóa riêng bị lộ, v.v.
  • Bạn đã đặt câu hỏi: 'Tại sao lại không có quy định cho những thứ này?'
  • Đây là cơ hội để bạn nói lên suy nghĩ của mình về việc các quy định đó nên như thế nào và để lại trên hồ sơ chính thức.
  • Nếu muốn tạo ảnh hưởng, bạn phải gửi ý kiến trong quy trình xây dựng quy định trước ngày 25 tháng 9 năm 2023 (nửa đêm ET).
  • FCC phải xem xét lập luận của bạn.
  • Tôi ở đây để lắng nghe và học hỏi từ ý kiến của bạn.
  • Cố vấn pháp lý của tôi, Marco Peraza, cũng sẽ trả lời các câu hỏi.
  • Tôi hy vọng các đồng nghiệp tại FCC cũng sẽ sẵn sàng tiếp nhận ý tưởng của bạn, thậm chí thừa nhận rằng tôi đã sai. Xin cảm ơn!```

Bài viết liên quan

1 bình luận

 
GN⁺ 2023-09-06
Ý kiến trên Hacker News
  • Một ủy viên FCC đang đề xuất quy định về cập nhật bảo mật cho IoT và trao đổi với cộng đồng Hacker News để thảo luận cũng như nhận phản hồi.
  • FCC đang nhận ý kiến chính thức về đề xuất này trực tuyến đến hết ngày 25 tháng 9. Mọi ý kiến sẽ được phản ánh vào quy định cuối cùng.
  • Cuộc thảo luận bao gồm nhiều góc nhìn khác nhau, trong đó có quan điểm của các kỹ sư firmware; họ đặt câu hỏi về định nghĩa của lỗi bảo mật, rủi ro an ninh tiềm ẩn của cập nhật từ xa và trách nhiệm bồi thường thiệt hại của nhà sản xuất khi thiết bị dễ bị tấn công bị khai thác.
  • Một số ý kiến nhấn mạnh sự gia tăng của tội phạm mạng liên quan đến thiết bị IoT, đặc biệt tại các khu vực xung đột, cũng như khả năng những thiết bị này bị dùng cho giám sát trái phép hoặc điều phối tấn công.
  • Có những lo ngại về các thách thức mà nhà sản xuất, đặc biệt là các nhóm nhỏ, phải đối mặt trong việc xác định lỗ hổng và duy trì bảo mật, cũng như điều gì xảy ra nếu họ đóng cửa doanh nghiệp hoặc website của họ bị xâm phạm.
  • Có đề xuất rằng thiết bị IoT phải có thể hoạt động mà không cần liên lạc với dịch vụ trung tâm, và nên có quy định yêu cầu mức chức năng tối thiểu trong môi trường tách biệt hoặc tự quản lý để tránh các rủi ro bảo mật cố hữu.
  • Có ý kiến yêu cầu nhà sản xuất phải hỗ trợ thiết bị của mình trong ít nhất một khoảng thời gian tối thiểu và khi kết thúc hỗ trợ thì phải công khai toàn bộ mã nguồn, để người tiêu dùng có thể kiểm soát firmware và ngăn thiết bị trở nên vô dụng.
  • Có những lo ngại về khả năng thực thi của quy định được đề xuất, đặc biệt với các nhà sản xuất ở nước ngoài, cùng đề xuất rằng các nền tảng IoT lớn nên kiểm toán thiết bị và cấm những thiết bị không đáp ứng tiêu chuẩn.