導讀:這種解決物聯(lián)網安全挑戰(zhàn)的方法是否可以奏效?以及消費者意識如何有助于解決問題。
圖片來源:http://pxhere.com/zh/photo/1457525
編譯:驕陽
這種解決物聯(lián)網安全挑戰(zhàn)的方法是否可以奏效?以及消費者意識如何有助于解決問題。
根據英國廣播公司的一篇文章,英國數(shù)字部長馬戈特·詹姆斯(Margot James)提議立法引入一種新的產品標簽系統(tǒng),向消費者展示物聯(lián)網產品的安全性。
為了獲得必要的標簽,物聯(lián)網設備需要:
▲默認情況下具有唯一密碼
▲明確說明將提供多長時間的安全更新
▲提供漏洞披露的公共聯(lián)系方式
該倡議是英國申請成為全球在線安全領導者的一部分,該倡議遵循加州的立法,該立法于2020年生效,并禁止在連網設備上使用弱密碼。擬議中的英國法規(guī)和實際的加州立法都是朝著正確方向邁出的一步,或者至少會讓供應商在開發(fā)物聯(lián)網產品的設計階段考慮安全性。但是,立法能解決問題嗎?
現(xiàn)在讓我們停下來思考一下物聯(lián)網設備的實際含義。加州立法提供了以下定義:連網的設備“是指能夠直接或間接連接到互聯(lián)網并被分配了互聯(lián)網協(xié)議地址或藍牙地址的任何設備或其他物理對象”。這涵蓋了各種各樣的設備、汽車、燈泡、筆記本電腦、恒溫器到手機等,名單是無窮無盡的。
我桌上有一個藍牙音響,據我所知,它沒有密碼,不收集數(shù)據,也不傳輸任何信息。加州立法是否涵蓋這種設備?它需要唯一的密碼嗎?
同樣,在英國購買特斯拉汽車的消費者是否應該期望在汽車上看到標簽,描述它符合物聯(lián)網的基本安全法規(guī)?還是特斯拉內部每個可以獨立通信的設備都需要有個安全標簽?
如此不安全
對安全性的需求是毫無疑問的,一些物聯(lián)網設備制造商(可能很多)未能采取有效措施保護其設備,正是這種失敗促使政治家采取行動。在英國,這是一項自愿性的行為準則,而這正是現(xiàn)在向立法邁進的一部分。
但一般來說,立法會扼殺創(chuàng)新??萍夹袠I(yè)已經開始遠離密碼,微軟首席信息安全官布雷特·阿瑟諾(Bret Arsenault)宣布,90%的微軟員工可以在沒有密碼的情況下登錄公司網絡,因為公司設想了一個“沒有密碼的世界”。其員工正在使用其他選項,包括Windows Hello和authenticator應用程序,這些選項提供面部識別、指紋和雙因素身份驗證等替代選項。
直到明年才生效或仍在提議中的立法在完全生效之前可能就已經過時了。它將迫使設備制造商使用一個行業(yè)正試圖淘汰的技術,以尋求更安全的選擇。
英國國家網絡安全中心(NCSC)最近對可能被攻擊的數(shù)據進行了分析,發(fā)現(xiàn)全球有2320萬用戶帳戶使用“123456”進行安全保護,770萬用戶使用“123456789”作為密碼。這些數(shù)據表明,消費者沒有參與保護他們的在線賬戶,這種自滿為網絡犯罪分子提供了大好機會。
我最近在美國和阿根廷的網絡安全活動上介紹了在將任何設備連接到網絡時,需要考慮安全性,特別是在智能建筑中。我向觀眾提出一個問題:“您們上次在車上更新信息娛樂系統(tǒng)是什么時候?”——在兩個地方都有相同的結果。觀眾看起來很困惑,他們是網絡安全專家,但是他們通過藍牙將個人手機連接到他們永遠不會更新的系統(tǒng)。有趣的是,第二天一位與會者與我聯(lián)系并表示,盡管它已經過時,但他和經銷商都無法更新他的信息娛樂系統(tǒng)。
快進幾年,您就可以看到全新的物聯(lián)網設備,它的產品標簽顯示它有一個唯一的密碼,而且五年內都會有更新。第一次使用時,為了簡單起見,您將密碼設置為與家中設備上的所有其他密碼相同,您可以插入設備并享受它所帶來的任何功能的便利性。當制造商向您發(fā)送有關固件更新的電子郵件通知時,假設您已注冊了該設備,您會在設備工作時將其刪除,并抱怨為什么要更新工作正常的設備。
雖然立法推動工業(yè)界提高設備的安全性,但消費者的教育和參與可能會讓他們在家中更加安全。不知您是否也能為此立法?