有效的物聯(lián)網(wǎng)安全需要協(xié)作與透明

　　物聯(lián)網(wǎng)為企業(yè)、政府和消費(fèi)者帶來(lái)好處。但這些功能不應(yīng)該以犧牲用戶的安全或減少隱私為代價(jià)。

　　當(dāng)消防員到達(dá)燃燒的建筑物時(shí)，他們必須控制火勢(shì)，營(yíng)救居民，并在壓力下保持冷靜。隨著物聯(lián)網(wǎng)設(shè)備越來(lái)越多地部署在各個(gè)城市，消防人員可以獲得更多信息，通過(guò)使用影響有需要的人的環(huán)境實(shí)時(shí)數(shù)據(jù)，拯救更多的生命，減少財(cái)產(chǎn)損失。

　　在有物聯(lián)網(wǎng)設(shè)備的緊急情況下，救援人員可以使用收集的數(shù)據(jù)進(jìn)行更有效、且更成功的響應(yīng)。救援人員可以通過(guò)占用傳感器了解建筑物的占用情況，通過(guò)公用設(shè)施和交通信號(hào)燈傳感器了解周圍的基礎(chǔ)設(shè)施，通過(guò)可穿戴活動(dòng)設(shè)備了解受害者的健康狀況。這些以前無(wú)法獲得的實(shí)時(shí)見解可以幫助救援人員更好地應(yīng)對(duì)情況，挽救更多生命。

　　諸如此類的救生應(yīng)用程序可以改變?yōu)碾y的處理方式，尤其是在大規(guī)模部署的情況下，但公共安全保護(hù)不應(yīng)該以犧牲企業(yè)、政府機(jī)構(gòu)和公民的安全和隱私為代價(jià)。

　　物聯(lián)網(wǎng)設(shè)備正以指數(shù)級(jí)速度部署，預(yù)計(jì)到2025年，物聯(lián)網(wǎng)連接將達(dá)到270億次。然而，物聯(lián)網(wǎng)安全并沒有跟上創(chuàng)新的迅猛步伐。隨著物聯(lián)網(wǎng)設(shè)備帶來(lái)的生活便利和潛在的救生效益越來(lái)越多，發(fā)生激烈網(wǎng)絡(luò)安全攻擊的規(guī)模也在增長(zhǎng)。

　　為了避免安全漏洞，制造這些設(shè)備的公司有責(zé)任迅速解決其產(chǎn)品中的漏洞。廣泛采用物聯(lián)網(wǎng)的風(fēng)險(xiǎn)不應(yīng)超過(guò)其帶來(lái)的社會(huì)效益。

　　黑客可以輕松訪問(wèn)

　　當(dāng)在城市和家庭中實(shí)施新的智能設(shè)備時(shí)，人們通常會(huì)假設(shè)這些設(shè)備至少具備基本的網(wǎng)絡(luò)安全水平。雖然行業(yè)聯(lián)盟和政府機(jī)構(gòu)已經(jīng)發(fā)布了各種建立最低級(jí)別的安全的指南和網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，但許多物聯(lián)網(wǎng)設(shè)備制造商和供應(yīng)商尚未采用或?qū)嵤┢渲腥魏我豁?xiàng)。

　　許多以前孤立的設(shè)備，如冰箱、煤氣表、汽車和醫(yī)療設(shè)備，現(xiàn)在都聯(lián)網(wǎng)了，但通常沒有嚴(yán)格考慮安全框架。這些設(shè)備從未打算與遠(yuǎn)程的、未經(jīng)授權(quán)的用戶進(jìn)行交互，因此訪問(wèn)控制和適當(dāng)?shù)膽{證管理可能很弱，甚至根本不存在。黑客可以毫不費(fèi)力地利用這些簡(jiǎn)單的安全漏洞，輕松訪問(wèn)。這樣做會(huì)違反用戶私人數(shù)據(jù)的機(jī)密性和完整性，并影響設(shè)備可用性。

　　例如，消防員可以使用物聯(lián)網(wǎng)設(shè)備和傳感器獲取建筑狀態(tài)和居民的數(shù)據(jù)，但如果設(shè)備被黑客攻擊，收集的數(shù)據(jù)可能不準(zhǔn)確或可能具有誤導(dǎo)性。消防員可能會(huì)花費(fèi)寶貴的時(shí)間和精力來(lái)定位人員，而錯(cuò)誤的數(shù)據(jù)會(huì)將他們指向錯(cuò)誤的區(qū)域。這些被設(shè)計(jì)為有用的設(shè)備可能會(huì)成為一種損害，阻礙消防人員救援建筑內(nèi)居民的努力。

　　網(wǎng)絡(luò)安全人人有責(zé)

　　對(duì)物聯(lián)網(wǎng)設(shè)備安全的攻擊可能發(fā)生在生產(chǎn)的所有階段——從規(guī)范和設(shè)計(jì)階段;制造、封裝和測(cè)試;最終用戶產(chǎn)品的分銷和集成。芯片制造商、設(shè)備制造商和消費(fèi)者在物聯(lián)網(wǎng)設(shè)備安全方面都扮演著重要的角色。

　　設(shè)備存在的許多安全缺陷是由誰(shuí)負(fù)責(zé)安全決策的指導(dǎo)方針不明確造成的。在物聯(lián)網(wǎng)設(shè)備開發(fā)期間，一家公司可能會(huì)設(shè)計(jì)設(shè)備，而另一家公司提供軟件、運(yùn)營(yíng)支持設(shè)備的網(wǎng)絡(luò)并部署設(shè)備。

　　這種混亂導(dǎo)致了各方的不作為，特別是因?yàn)闆]有足夠的動(dòng)力來(lái)充分保障產(chǎn)品安全。行業(yè)領(lǐng)導(dǎo)者采用物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)并共同努力解決關(guān)鍵領(lǐng)域的改進(jìn)是非常重要的。

　　多年來(lái)，物聯(lián)網(wǎng)行業(yè)在很大程度上對(duì)自我監(jiān)管缺乏熱情，因此，現(xiàn)在聯(lián)邦和州出臺(tái)了一些政策來(lái)指導(dǎo)該行業(yè)的安全監(jiān)管，包括以下幾點(diǎn):

　　IoT設(shè)備只能運(yùn)行經(jīng)過(guò)身份驗(yàn)證的代碼。

　　僅使用安全接口進(jìn)行調(diào)試和通信。

　　必須具備安全的遠(yuǎn)程軟件更新能力。

　　所有設(shè)備必須具有唯一的標(biāo)識(shí)符。

　　合并漏洞披露程序和產(chǎn)品事件響應(yīng)。

　　這些要求只涵蓋基本需求，但它們要求設(shè)備制造商和應(yīng)用程序開發(fā)人員從根本上提高產(chǎn)品開發(fā)的安全級(jí)別。

　　消費(fèi)者還必須維護(hù)他們的設(shè)備，并使設(shè)備在使用時(shí)能夠更新。他們也應(yīng)該警惕網(wǎng)絡(luò)釣魚和社會(huì)工程黑客的企圖。

　　解決物聯(lián)網(wǎng)安全的新政策

　　在美國(guó)，新政策將要求對(duì)在美國(guó)銷售的設(shè)備設(shè)置網(wǎng)絡(luò)安全保護(hù)基線。2021年5月，喬·拜登總統(tǒng)發(fā)布了《關(guān)于改善國(guó)家網(wǎng)絡(luò)安全的行政命令》，呼吁各機(jī)構(gòu)加強(qiáng)整個(gè)軟件和硬件供應(yīng)鏈的網(wǎng)絡(luò)安全指導(dǎo)方針。

　　制造商現(xiàn)在可以開始實(shí)施安全標(biāo)準(zhǔn)，并與他人合作創(chuàng)建一個(gè)通用的行業(yè)標(biāo)準(zhǔn)——在立法規(guī)定所有要求之前。NIST正在與物聯(lián)網(wǎng)行業(yè)合作，設(shè)計(jì)、標(biāo)準(zhǔn)化、測(cè)試并促進(jìn)采用通用方法，以保護(hù)物聯(lián)網(wǎng)設(shè)備免受網(wǎng)絡(luò)安全破壞。

　　國(guó)土安全部(DHS)正在利用NIST的工作，為在美國(guó)銷售的所有設(shè)備創(chuàng)建最佳實(shí)踐和要求，這只能在一定程度上推動(dòng)私營(yíng)部門的行業(yè)行動(dòng)，行業(yè)領(lǐng)導(dǎo)者共同努力創(chuàng)造采用國(guó)內(nèi)銷售設(shè)備標(biāo)準(zhǔn)。

　　在歐盟，歐盟網(wǎng)絡(luò)安全機(jī)構(gòu)定義了整個(gè)歐洲網(wǎng)絡(luò)安全能力的通用級(jí)別標(biāo)準(zhǔn)。他們定義的最佳實(shí)踐自2017年開始實(shí)施，并在物聯(lián)網(wǎng)安全基礎(chǔ)上指導(dǎo)歐洲行業(yè)。

　　雖然政府和監(jiān)管機(jī)構(gòu)可以制定安全標(biāo)準(zhǔn)的基線，但它們的主要作用是建立正確的激勵(lì)機(jī)制，并鼓勵(lì)開發(fā)必要的工具和資源，以便企業(yè)和消費(fèi)者能夠做出明智的決定。一旦政策制定，物聯(lián)網(wǎng)行業(yè)的領(lǐng)導(dǎo)者應(yīng)該已經(jīng)有了一個(gè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，可以有效保護(hù)消費(fèi)者的數(shù)據(jù)，并使物聯(lián)網(wǎng)技術(shù)蓬勃發(fā)展。

（來(lái)源：千家網(wǎng)）