รัฐแคลิฟอร์เนียร์ผ่านกฎหมายควบคุมอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ต (SB-327 Information privacy: connected devices.) ที่ควบคุมให้ผู้ผลิตต้องเพิ่มมาตรการความปลอดภัยเพิ่มเติมหากอุปกรณ์สามารถเชื่อมต่ออินเทอร์เน็ตได้ โดยระบุว่าผู้ผลิตต้องเลือกระหว่างใช้รหัสผ่านเริ่มต้นไม่ซ้ำกันในอุปกรณ์แต่ละชิ้นที่ขายไป หรือตั้งให้ผู้ใช้ต้องตั้งรหัสผ่านเองเมื่อเปิดใช้งานครั้งแรก

กฎหมายนี้ยกเว้นให้กับอุปกรณ์ที่เชื่อมต่อเฉพาะเน็ตเวิร์กภายใน (LAN) เท่านั้น หากเปิดทางให้ผู้ใช้เชื่อมต่อจากเน็ตเวิร์กภายนอกไม่ว่าทางตรงหรือทางอ้อมจึงจะเข้าข่ายบังคับ และกฎหมายจะเริ่มบังคับตั้งแต่วันที่ 1 มกราคม 2020 ทำให้ผู้ผลิตมีเวลาปรับตัวประมาณ 15 เดือนนับจากนี้ไป

ปัญหารหัสผ่านเริ่มต้น เป็นปัญหาเรื้อรังของอุปกรณ์จำนวนมากที่เชื่อมต่ออินเทอร์เน็ตโดยผู้ใช้ไม่มีความเชี่ยวชาญเพียงพอ ไม่ได้เปลี่ยนรหัสผ่านเมื่อเริ่มใช้งานครั้งแรก ทำให้อุปกรณ์จำนวนมากถูกสแกนและแฮกเกอร์สามารถล็อกอินเข้ามาแก้ไขหรือสั่งการได้โดยใช้เพียงรหัสผ่านเริ่มต้นจากโรงงานเท่านั้น

ช่องโหว่สำคัญของอุปกรณ์ IoT นอกจากจะเป็นการติดตั้งที่ไม่ถูกต้องแล้ว ปัญหาอีกอย่างคือซอฟต์แวร์ที่ผู้ผลิตมักไม่อัพเดตแม้จะมีรายงานช่องโหว่ใหม่ๆ และที่ผ่านมาก็ยังไม่มีกฎหมายคุ้มครองระยะเวลาอัพเดตให้อุปกรณ์เหล่านี้แต่อย่างใด

ที่มา - BBC, The Register

ที่มาภาพ - Pixabay