ปัญหาเรื่องอุปกรณ์ IoT ไม่ได้อัพเดตแพตช์ความปลอดภัย จนกลายเป็นช่องโหว่ให้ถูกแฮ็กและถูกใช้เป็น botnet จู่โจมคนอื่นต่อไป กำลังทวีความรุนแรงมากขึ้นเรื่อยๆ และที่ผ่านมาก็ยังไม่เห็นแนวโน้มว่า ผู้ผลิตอุปกรณ์ IoT สนใจจะอัพเดตแพตช์ให้สินค้าที่วางขายไปแล้วมากนัก

ล่าสุดมีวุฒิสมาชิกของสหรัฐกลุ่มหนึ่ง เสนอร่างกฎหมาย Internet of Things Cybersecurity Improvement Act of 2017 เพื่อใช้กลไกทางกฎหมายมาแก้ปัญหาแล้ว

เนื้อหาของร่างกฎหมายฉบับนี้แบ่งออกเป็น 3 ส่วนหลัก

1. กำหนดให้มีระเบียบของหน่วยงานภาครัฐว่า อุปกรณ์ IoT ที่จะถูกจัดซื้อ จะต้องมีมาตรการด้านความปลอดภัยอย่างไรบ้าง เช่น ต้องมีกระบวนการล็อกอินยืนยันตัวตนที่ปลอดภัย, ห้ามมีช่องโหว่ที่รู้กันทั่วไป, ถ้าพบช่องโหว่ใหม่ บริษัทต้องแจ้งหน่วยงานรัฐที่จัดซื้อ, ห้าม hard code รหัสผ่าน, ใช้โพรโทคอลการสื่อสารและการเข้ารหัสที่เป็นมาตรฐานในปัจจุบัน, ต้องมีข้อตกลงเรื่องการอัพเดต การซ่อมแซม และระยะเวลาซัพพอร์ตที่ชัดเจน
2. รัฐบาลสหรัฐจะต้องออกคู่มือ (Guideline) สำหรับรายงานปัญหาความปลอดภัยของอุปกรณ์ IoT ให้หน่วยงานภาครัฐนำไปปฏิบัติ
3. เว้นความผิดตามกฎหมายความปลอดภัยไซเบอร์และกฎหมายลิขสิทธิ์ ให้กับแฮ็กเกอร์หรือนักวิจัยความปลอดภัยกลุ่ม white hat ที่ศึกษาหาช่องโหว่ของอุปกรณ์ IoT เหล่านี้

Sen. Mark Warner วุฒิสมาชิกที่เสนอร่างกฎหมายฉบับนี้ ระบุว่ากฎหมายฉบับนี้จะช่วยกระตุ้นให้ผู้ผลิตอุปกรณ์ IoT หันมาใส่ใจเรื่องความปลอดภัยมากขึ้น

ร่างกฎหมายฉบับนี้ร่างขึ้นโดยได้รับคำปรึกษาจากผู้เชี่ยวชาญด้านความปลอดภัยหลายราย ทั้งบริษัทอย่าง Mozilla, Cloudflare, Symantec, VMware และศูนย์วิจัยด้านกฎหมาย-ความปลอดภัยของมหาวิทยาลัย Harvard ด้วย

ส่วนการผลักดันออกเป็นกฎหมายจริงๆ ก็ต้องรอผ่านกระบวนการของรัฐสภาสหรัฐต่อไป

ที่มา - Mark R. Warner, Scribd, Threatpost, MeriTalk, ภาพจาก Pexels