2016年，Mirai僵尸網絡的攻擊導致多個常用網站癱瘓，人們也由此意識到了對物聯網設備安全性的需求。從那之后，美國國會開始嘗試通過有關物聯網安全的立法，包括2017年的一項不成熟的法案。當時議員提出一項議案，旨在防止政府采購存在少量明顯安全漏洞的聯網設備。今年，美國國會再次嘗試通過立法，這次法案的內容更豐富。

《2019物聯網網絡安全改進法》（Internet of Things Cybersecurity Improvement Act of 2019）并不是像2017法案那樣專門為了保護聯網設備。2019法案旨在建立政府可以利用的框架，從而確定安全聯網設備需具備的特征列表。該法案很有可能會把確定對安全設備的要求這一任務分配給美國國家標準與技術研究院（NIST）。因此，需要由美國行政管理和預算局（OMB）來指導聯邦機構如何適用NIST指南。

一些安全專家擔心這種兩步法會導致機構的安全標準降低，因為即便NIST制定了強大的標準，OMB也可能會讓部分或者所有機構忽略一部分甚至整個標準。不過這也不一定就是壞事，比如美國國家公園管理局需要的安全指南很可能與國防部所需的指南不一樣。

進入物聯網行業的7年間我學習到，良好立法的基礎有兩個關鍵規則。首先就是要理解，良好的安全性就是要把安全作為重中之重。這似乎是顯而易見的事，但如果你為美國退伍軍人事務醫院采購注入泵，就很可能會注重購買最好的注入泵，而不會關注與之相關的網絡安全威脅問題。實際上，在物聯網中，基本功能中必須包括安全，因此設備的設計和采購過程中應當有網絡安全專家參與。第二條規則是，政府機構必須知道，在互聯的世界里，高安全性是一個持續的過程，而不是一勞永逸的事。

因此，我們很高興看到該法案要求NIST每5年必須對設備的安全性進行評估并更新政府的相關標準。當然，對于處處都是聯網設備且技術不斷更新的社會來說，5年似乎很漫長。不過這僅僅是一個開始。

不知道委員會會不會通過該法案，也不知道如果通過，它會以怎樣的面貌呈現。不過以現在的情況來看，我愿意為它添磚加瓦，幫助其更加細化。首先，希望NIST能夠有固定的預算來創建安全漏洞和安全要素清單，并管理之后有關安全漏洞披露的事宜。

此外，也希望能夠有一些有關目前政府管轄范圍內所有不安全設備的補救計劃。美國的政府機構在很多地方都使用了計算機和聯網設備，包括導彈攔截的武器系統和國家公園的野生動物跟蹤。顯然，比起馴鹿來，導彈問題缺乏安全保障更容易讓人緊張不安。政府應該考慮的是如何保護現有一切的安全，而不僅僅是考慮網絡安全法案生效后會帶來什么。