物联网为企业、政府和消费者带来诸多好处,但这些功能不应牺牲用户的安全或隐私为代价。如何达成有效的物联网安全性呢?对此,Silicon Labs(亦称“芯科科技”)首席安全官Sharon Hagi制作了一篇应用文章来说明网络安全当前面临的挑战,以及可行的解决之道。
当消防员到达燃烧的建筑物时,在压力当下必须保持冷静以控制火势及营救居民。随着越来越多的物联网设备在城市中部署,消防员可以使用实时数据来获取更多相关环境的信息以协助受影响的民众,从而挽救更多生命并减少财产损失。
在紧急情况下如有可用的在地物联网设备,应变人员可以利用收集的数据采取更有效且通常更成功的措施。应变人员可以通过占用传感器了解建筑物的使用情况,利用公用设施和交通灯传感器了解周围的基础设施,并通过行动穿戴设备了解受害者的健康状况。这些以前无法获得的实时洞察力可以帮助应变人员更能够因应状况,挽救更多生命。
特别是在大规模部署的情况下,此类救生应用设施可以改变灾难处理方式,但保护公共安全不应以损害企业、政府机构和公民的安全和隐私为代价。
物联网设备的部署速度呈指数级增加,预计到2025年将达到270亿个物联网连接产品。然而,物联网安全并没有跟上迅猛的创新步伐。由于具有缓解生命危险和拯救生命的潜在优势,物联网设备的使用量越来越多,但激烈的网络安全攻击规模也持续增长。
为了防止安全漏洞,生产这些设备的公司有责任快速解决产品中的漏洞。广泛采用物联网的风险不应超过社会效益。
容易遭黑客骇入
当在城市和家庭中安装新的智能设备时,人们通常认为这些设备至少有一个基本的网络安全水平。虽然行业联盟和政府机构已经发布了各种指导方针和网络安全标准,以建立最低级别的安全性,但许多物联网设备制造商和供应商尚未采用或执行其中任何一项措施。
许多以前无法联网的设备—如冰箱、煤气表、汽车和医疗设备—现在已经连接起来,但通常没有充分考虑安全框架。以前这些设备从未打算与未经授权的远程用户互动,访问控制和适合的凭证管理可能很弱甚至不存在,因此黑客可以毫不费力地利用这些简单的安全漏洞。由于系统过于容易访问,因此妨害了私人用户数据的机密性和完整性,从而影响设备的可用性。
例如,消防员可以使用物联网设备和传感器获取有关建筑物状态和居民的数据,但如果设备遭到黑客攻击,收集的数据可能不精准或有潜在的误导性。消防员可能会花费宝贵的时间和精力来定位一个人,而错误的数据会将他们导向错误的区域。这些设计为有用的装置可能会成为另一种危害,阻碍消防队员营救建筑物内居民所作的努力。
网络安全是每个人的责任
对物联网设备安全的攻击可能发生在生产过程的所有阶段—从规范和设计阶段;包括制造、包装和测试、分销和最终用户产品的集成。芯片制造商、设备制造商和消费者都在物联网设备安全方面发挥着重要作用。
设备存在许多安全缺陷来自于有关由谁负责安全决策的不明确指导方针。在物联网设备开发期间,一家公司可以负责设计设备,但会由另一家公司提供软件,执行支持设备的网络以及设备的部署。
这种混乱导致各方无所作为,特别是因为没有足够的诱因来充分保护产品。更重要的是,行业领导厂商应采用物联网安全协作标准,共同努力解决须改进的关键领域。
多年来,物联网行业并未积极自我监管,因此,目前正在引入联邦和州政府的政策来指导行业的安全监管,内容包括如下:
● 物联网设备只能运行经验证的代码。
● 调试和通信仅能使用安全接口。
● 必须具备安全的远程软件更新功能。
● 所有设备必须具备唯一的验证码。
● 须纳入漏洞泄露防范计划和产品事故因应措施。
以上这些条件仅涵盖基本需求,还须要求设备制造商和应用程序开发人员彻底提高产品开发的安全级别。
消费者同时须维护他们的设备,使设备在使用时能够更新,也应警戒网络钓鱼和黑客在社交工程上的袭击。
解决物联网安全问题的新政策
为了解决美国物联网安全问题,新政策将要求在国内销售的设备中设置网络安全保护基本要件。2021年5月,乔·拜登总统发布了“改善国家网络安全的行政命令”,呼吁各机构加强整体软件和硬件供应链的网络安全准则。
在立法规定所有要求之前,制造商现在可以开始实施安全标准,并与其他厂商合作创建一个通用的行业标准。NIST正与物联网行业合作,进行设计、标准化、测试并鼓励采用通用方法来保护物联网设备免受网络安全漏洞的影响。
国土安全部(The Department of Homeland Security,DHS)正利用NIST的专业为美国境内销售的所有设备创建最佳的实践和要求。国土安全部只能在一定程度上促使私营部门的行业采取行动,而重要的是,行业领导厂商应共同努力,为国内销售的设备创建和采用安全作业标准。
在欧盟,欧盟网络安全机构定义了整个欧洲网络安全性能的共同标准。自2017年以来,他们定义的最佳实践模式已经到位,规范了欧洲所有行业的物联网安全基础。
虽然政府和监管机构可以制定安全标准的基础,但它们的主要角色是制定正确的激励措施,鼓励开发必要的工具和资源,以便公司和消费者能够做出明智的决策。一旦制定了政策,物联网行业的领导厂商应该已经制定了网络安全标准,有效保护消费者的数据资料,促进物联网技术的蓬勃发展。
(SiliconLabs)
