发展物联网,安全要向效益妥协?

慧聪通信网 2019-05-15 17:31 来源:人民邮电报作者:那文

【慧聪通信网】近日,知名网络安全企业Dark3发布了一份针对物联网安全的报告。报告显示,越来越多的物联网设备受到攻击,大部分正在进行零售的物联网设备正在收集、传递甚至是分析使用者的隐私,一些设备的信息传递不设加密过程。使用这些物联网设备的用户个人的信息和数据存在极大的向全球传播的风险。报告也指出,测试的设备中仍然有一部分程序和固件都比较安全,价格也并不更昂贵的设备。但是由于厂商和零售商缺乏对于安全问题的关注,消费者很难区分哪些是安全风险小的设备。

在我国,IoT、AI+IoT等话题备受关注,而愈演愈烈的物联网商业竞争吸引了更多的企业加入之余,也出现了关于物联网安全的质疑声,“安全”是每一次重大物联网行业峰会都会被提及的词汇。

安全”也成为物联网生态创建至今容易被“主动忽略”的关键词。“主动忽略”是物联网快速增长的市场选择:一方面碎片化的物联网产业并没有形成成熟的行业规则,这就导致一些企业受到较少的约束,为了追赶快速增长的市场以得到战略优势,“不得不”在做决策的时候更多地向“效益”妥协而更少关注安全。另一方面,安全应该作为一种基因需要整个行业共同努力,单独企业的修补行为并不能解决整个行业包括制造和零售的系统性问题,任何一个环节的“单打独斗”无法从根本上解决问题,总会有新的安全问题冒出来。

报告总结了产生物联网安全问题的原因:

受审查的一些较安全设备实际上把第三方通信保持在低限度,只遵循基本的安全原则。而一些设备部署在第三方云平台上,这些云平台不完全加密的传输导致加密审核可以被旁路。例如,一些安卓AppSDK未对数据进行加密,导致他人可以用一部电脑知道用户房间内插座、灯或者其他设备的打开或关闭状态,甚至可以发出指令操控用户的设备,而房间主人除了断电之外没有其他办法阻止这样的操控。

安卓程序漏洞非常多。为了控制设备用户需要下载安卓程序并连接设备,这些应用程序本身需要大量权限,仅仅调暗灯泡这一个动作都能泄露用户的隐私,其他巨大的、待挖掘数据是用户无法想象的。

提供设备和服务的企业对安全的漠视让安全问题更加严重。一些公司的设备从硬件到应用程序都存在安全问题,此外,一些设备为了更好的用户体验与第三方进行了交互和关联,这使设备、数据通信和应用程序绑定,同时也扩大了隐私数据的扩散范围。

不是使用了云基础架构就都是安全的。一些第三方云平台公司声称他们的云平台是部署在AWS或者其他美国云平台上,因此云平台就是安全的。这是完全欲盖弥彰的说法,在发表的报告中提到了审查的Tuya对用于打开和关闭其灯泡和插座的技术架构,发现通信均以明文形式传递,甚至是用户名和密码,这导致了任何人都可以拦截用户的手机物联网设备之间的互动甚至是其他隐私信息。因此,即使平台部署在AWS上,不能做到宣传那样的加密,安全漏洞就永远存在,而重点在于这只是其安全问题的一个方面。

任何公司或生产环节个体的补丁和挽救无法解决整个行业的系统性问题。一些企业的确可以通过修补设备来解决发现的问题,但是如果想重拾消费者对于物联网产品的信心,需要整个行业意识到根本问题并通过行业规范和行业承诺来进行约束。制造商受到法律和道德的约束,零售商把安全作为采购决策中重要的组成部分,从上到下形成安全维护意识,才能让整个行业健康规范前行。

安全企业也发出了建议:消费者的安全必须得到保护。在社会新技术面前,不知情的消费者处于弱势地位,因为他们没有能力做决策,但是消费者有权要求零售商保护他们远离不安全物联网设备。

零售商必须为所有不安全设备负责任。一些制造工厂和平台对安全问题的漠视导致了安全问题,但是零售商有责任对供货商提出安全要求或者形成有安全保障的供应链。关注安全问题并不会增加成本反而会增加消费者的信任,减少风险成本。在这个过程中,选择安全可靠并且符合当地法规的平台公司是非常必要的,一些权威机构的独立第三方认证也可以提供指导,如服务组织控制报告SOC认证。

政府的参与很必要。政府法律法规的出台在一定程度上能够减小安全风险,只有政府才有能力和权力要求公民得到保护。令人欣慰的是,一些权威的对于平台安全性的评估已经发布,例如MachNation2019发布了云平台的实际使用测试报告,包括Ayla平台在内的20家云平台均通过了该机构的安全评估测试。

不过,消费者无须对物联网技术产生恐慌,因为有更多的企业正在为了保护用户的数据而努力。他们不光帮助企业保护终端用户的隐私,还引导企业在保护数据的同时正确规避法律风险,努力促进行业规范的形成。

文章来源:人民邮电报那文

免责声明:凡注明来源本网的所有作品,均为本网合法拥有版权或有权使用的作品,欢迎转载,注明出处。非本网作品均来自互联网,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。