لا تزال كاليفورنيا تحتل مكانة رائدة فيما يتعلق بوضع السياسات لمعالجة كل شيء، بدءاً من التغيُّر المناخي وحتى خصوصية المستهلك، وقد تلعب الآن دوراً رائداً في مجال آخر؛ وهو الأمن السيبراني الخاص بالأدوات الذكية المتصلة بالإنترنت.
فقد أرسل مشرِّعو الولاية مؤخراً إلى حاكم كاليفورنيا -جيري براون- مشروع قانون يهدف إلى تشديد الأمان المتعلق بالأجهزة المتصلة بالإنترنت، وإذا وافق الحاكم على ذلك فستصبح كاليفورنيا عندئذ أول ولاية أميركية لديها قانون تم إعداده خصيصَى لإنترنت الأشياء (IoT).
وليس من الصعب أن نَعِي المبررات التي تجعل مثل هذا القانون التشريعي حاجةً لا بد منها؛ فبالكاد يمر يوم واحد دون ورود تقرير جديد عن قراصنة يهدِّدون كافة أنواع المنتجات، من الدُّمى المتصلة بالإنترنت إلى الكاميرات الأمنية، وستتدفق المليارات من الأجهزة الجديدة المتصلة بالإنترنت إلى الأسواق على مدى السنوات القليلة المقبلة.
ويعتقد بعض الخبراء أنها مسألة وقت فقط وستتسبَّب الأدوات الذكية التي تعرضت للاختراق بوقوع أضرار جسيمة، وربما تصل إلى قتل الناس (ويمكنك الاستزادة عن ذلك في مقالة "الأشياء المتصلة بالإنترنت قد تؤدي إلى قتلنا يوماً ما").
والقانون التشريعي لكاليفورنيا -والذي سيدخل حيِّز التنفيذ في يناير من العام 2020- يتطلب أن تمتلك الأجهزة المتصلة بالإنترنت ميزات أمنية "معقولة، وملائمة لطبيعة الجهاز ووظائفه"، كما أنه يتطلب من الشركات المصنِّعة أيضاً إما إنشاء كلمة مرور افتراضية مختلفة لكل أداة ذكية تبيعها، أو مطالبة المستخدمين بتغيير كلمة السر الافتراضية الشائعة قبل أن يستخدموا الجهاز الذي تم شراؤه لأول مرة.
ولا تزال الأدوات الذكية -في كثير من الأحيان- تُطرح في الأسواق مُتضمِّنةً كلمات مرور شائعة، وهذا يعني أن القراصنة إذا تمكنوا من تجاوز كلمة المرور هذه، فسيتمكَّنون من السيطرة على عدد كبير من الأجهزة المشابهة. كما تتفاوت ضوابط الأمان الأخرى التي تحكم بعض الجوانب مثل الاتصال بأجهزة مختلفة بشكل كبير، وغالباً ما تعكس المعايير التي طوَّرتها الصناعة.
وهناك قوانين فيدرالية أو على مستوى الولاية تحدِّد كيفية التعامل مع بيانات العميل التي يتم جمعها عبر منتجات إنترنت الأشياء، ومع ذلك -وحتى يومنا هذا- لا يوجد قانون تشريعي يركِّز على أمن إنترنت الأشياء.
وقد سبق لبعض خبراء الأمن السيبراني -مثل روبرت جراهام من مجموعة إرَّاتا سيكيوريتي- أن انتقدوا قانون كاليفورنيا التشريعي بأنه مُصاغٌ بطريقة مبهمة للغاية، وأنهم لم يبذلوا المزيد من الجهود لمنع الشركات من تطوير ميزات غير آمنة ودمجها في أجهزتها.
ويقول الداعمون إن التهديد المحتمل الذي يمثِّله القانون التشريعي سيضطر الشركات المصنِّعة إلى زيادة التركيز على الجوانب الأمنية أثناء تصنيع أجهزتها الذكية؛ يقول بو وودز (الزميل المتخصص في أمن المعلومات في المجلس الأطلسي؛ وهي مؤسسة بحثية في مجال الشؤون الدولية): "إن لغة مشروع القانون فضفاضة جداً وعلى نحو متعمد، ولكن ذلك يدفع الشركات إلى التفكير في كيفية تصميم منتجاتها لتكون آمنة بطبيعتها".
كما أن هناك سبباً وجيهاً آخر لعدم الإفراط في الطابع الإلزامي للقانون؛ إذ من الممكن أن تتغير الأمور بسرعة مذهلة في مجال الأمن السيبراني، لذا فإن ما قد يبدو إجراءً دفاعياً معقولاً اليوم، قد يبدو مفعوله باطلاً عما قريب.
ومع ذلك فقد يكون من المفيد أن يتضمن القانون متطلباً محدداً يقضي بأن تُطلِق الشركات -على وجه السرعة- تصحيحاتٍ لأي من الثغرات الأمنية التي يتم اكتشافها في البرمجيات الخاصة بمنتجاتها، ومن الممكن له أن يجبرها على إنشاء أنظمة تسهِّل على الناس الإبلاغ عن العيوب ومكافأتهم مقابل ذلك (انظر المقالة "هل ستصبح القرصنة الأخلاقية مهنة مزدهرة وآمنة؟").
إن حقيقة تفويت هذه الفرصة لا يعني أن من الضروري الاعتراض على مشروع القانون؛ فإذا عملت الشركات على تعزيز الجوانب الأمنية لمنتجاتها -حتى تتمكن من الاستمرار في بيعها في سوق كاليفورنيا واسعة النطاق- فمن المحتمل لهذه التغييرات أن تفيد ولايات أخرى أيضاً، كما يمكن لمبادرة كاليفورنيا أن تحفِّز العمل على المستوى الفيدرالي، فالأمر يحتاج بشدة إلى معالجة هذه القضية بالغة الأهمية المتعلقة بأمن إنترنت الأشياء.
وقد تم بالفعل طرحُ عدد من مشاريع القوانين في الكونغرس؛ بما في ذلك مشروع قانون يعرف باسم قانون تحسين الأمن السيبراني للعام 2017، والذي سيطالب الشركات بالتعامل مع الحكومة الفيدرالية للتأكُّد من أن منتجاتها المتصلة بالإنترنت تستخدم برمجيات يمكن تصحيحها بسهولة، وأنها لا تحتوي على ثغرات أمنية معروفة، وأن لديها كلمات مرور يمكن تغييرها.
وتقبع مشاريع القوانين حالياً في كنف اللجان، ويمكن لسعي كاليفورنيا التشريعي أن يساعد في إحيائها من جديد والحصول على تأييد من كلا الحزبين (الديموقراطي والجمهوري) لاتخاذ الإجراءات اللازمة.