發(fā)展物聯(lián)網(wǎng)，安全要向效益妥協(xié)？

2019年05月15日17:31 來源：人民郵電報(bào)作者：那文T|T

【移動通信網(wǎng)】 近日，知名網(wǎng)絡(luò)安全企業(yè)Dark3發(fā)布了一份針對物聯(lián)網(wǎng)安全的報(bào)告。報(bào)告顯示，越來越多的物聯(lián)網(wǎng)設(shè)備受到攻擊，大部分正在進(jìn)行零售的物聯(lián)網(wǎng)設(shè)備正在收集、傳遞甚至是分析使用者的隱私，一些設(shè)備的信息傳遞不設(shè)加密過程。使用這些物聯(lián)網(wǎng)設(shè)備的用戶個人的信息和數(shù)據(jù)存在極大的向全球傳播的風(fēng)險(xiǎn)。報(bào)告也指出，測試的設(shè)備中仍然有一部分程序和固件都比較安全，價格也并不更昂貴的設(shè)備。但是由于廠商和零售商缺乏對于安全問題的關(guān)注，消費(fèi)者很難區(qū)分哪些是安全風(fēng)險(xiǎn)小的設(shè)備。

在我國，IoT、AI+IoT等話題備受關(guān)注，而愈演愈烈的物聯(lián)網(wǎng)商業(yè)競爭吸引了更多的企業(yè)加入之余，也出現(xiàn)了關(guān)于物聯(lián)網(wǎng)安全的質(zhì)疑聲，“安全”是每一次重大物聯(lián)網(wǎng)行業(yè)峰會都會被提及的詞匯。

“安全”也成為物聯(lián)網(wǎng)生態(tài)創(chuàng)建至今容易被“主動忽略”的關(guān)鍵詞�！爸鲃雍雎浴笔俏锫�(lián)網(wǎng)快速增長的市場選擇：一方面碎片化的物聯(lián)網(wǎng)產(chǎn)業(yè)并沒有形成成熟的行業(yè)規(guī)則，這就導(dǎo)致一些企業(yè)受到較少的約束，為了追趕快速增長的市場以得到戰(zhàn)略優(yōu)勢，“不得不”在做決策的時候更多地向“效益”妥協(xié)而更少關(guān)注安全。另一方面，安全應(yīng)該作為一種基因需要整個行業(yè)共同努力，單獨(dú)企業(yè)的修補(bǔ)行為并不能解決整個行業(yè)包括制造和零售的系統(tǒng)性問題，任何一個環(huán)節(jié)的“單打獨(dú)斗”無法從根本上解決問題，總會有新的安全問題冒出來。

報(bào)告總結(jié)了產(chǎn)生物聯(lián)網(wǎng)安全問題的原因：

受審查的一些較安全設(shè)備實(shí)際上把第三方通信保持在低限度，只遵循基本的安全原則。而一些設(shè)備部署在第三方云平臺上，這些云平臺不完全加密的傳輸導(dǎo)致加密審核可以被旁路。例如，一些安卓AppSDK未對數(shù)據(jù)進(jìn)行加密，導(dǎo)致他人可以用一部電腦知道用戶房間內(nèi)插座、燈或者其他設(shè)備的打開或關(guān)閉狀態(tài)，甚至可以發(fā)出指令操控用戶的設(shè)備，而房間主人除了斷電之外沒有其他辦法阻止這樣的操控。

安卓程序漏洞非常多。為了控制設(shè)備用戶需要下載安卓程序并連接設(shè)備，這些應(yīng)用程序本身需要大量權(quán)限，僅僅調(diào)暗燈泡這一個動作都能泄露用戶的隱私，其他巨大的、待挖掘數(shù)據(jù)是用戶無法想象的。

提供設(shè)備和服務(wù)的企業(yè)對安全的漠視讓安全問題更加嚴(yán)重。一些公司的設(shè)備從硬件到應(yīng)用程序都存在安全問題，此外，一些設(shè)備為了更好的用戶體驗(yàn)與第三方進(jìn)行了交互和關(guān)聯(lián)，這使設(shè)備、數(shù)據(jù)通信和應(yīng)用程序綁定，同時也擴(kuò)大了隱私數(shù)據(jù)的擴(kuò)散范圍。

不是使用了云基礎(chǔ)架構(gòu)就都是安全的。一些第三方云平臺公司聲稱他們的云平臺是部署在AWS或者其他美國云平臺上，因此云平臺就是安全的。這是完全欲蓋彌彰的說法，在發(fā)表的報(bào)告中提到了審查的Tuya對用于打開和關(guān)閉其燈泡和插座的技術(shù)架構(gòu)，發(fā)現(xiàn)通信均以明文形式傳遞，甚至是用戶名和密碼，這導(dǎo)致了任何人都可以攔截用戶的手機(jī)和物聯(lián)網(wǎng)設(shè)備之間的互動甚至是其他隱私信息。因此，即使平臺部署在AWS上，不能做到宣傳那樣的加密，安全漏洞就永遠(yuǎn)存在，而重點(diǎn)在于這只是其安全問題的一個方面。

任何公司或生產(chǎn)環(huán)節(jié)個體的補(bǔ)丁和挽救無法解決整個行業(yè)的系統(tǒng)性問題。一些企業(yè)的確可以通過修補(bǔ)設(shè)備來解決發(fā)現(xiàn)的問題，但是如果想重拾消費(fèi)者對于物聯(lián)網(wǎng)產(chǎn)品的信心，需要整個行業(yè)意識到根本問題并通過行業(yè)規(guī)范和行業(yè)承諾來進(jìn)行約束。制造商受到法律和道德的約束，零售商把安全作為采購決策中重要的組成部分，從上到下形成安全維護(hù)意識，才能讓整個行業(yè)健康規(guī)范前行。

該安全企業(yè)也發(fā)出了建議：消費(fèi)者的安全必須得到保護(hù)。在社會新技術(shù)面前，不知情的消費(fèi)者處于弱勢地位，因?yàn)樗麄儧]有能力做決策，但是消費(fèi)者有權(quán)要求零售商保護(hù)他們遠(yuǎn)離不安全的物聯(lián)網(wǎng)設(shè)備。

零售商必須為所有不安全設(shè)備負(fù)責(zé)任。一些制造工廠和平臺對安全問題的漠視導(dǎo)致了安全問題，但是零售商有責(zé)任對供貨商提出安全要求或者形成有安全保障的供應(yīng)鏈。關(guān)注安全問題并不會增加成本反而會增加消費(fèi)者的信任，減少風(fēng)險(xiǎn)成本。在這個過程中，選擇安全可靠并且符合當(dāng)?shù)胤ㄒ?guī)的平臺公司是非常必要的，一些權(quán)威機(jī)構(gòu)的獨(dú)立第三方認(rèn)證也可以提供指導(dǎo)，如服務(wù)組織控制報(bào)告SOC認(rèn)證。

政府的參與很必要。政府法律法規(guī)的出臺在一定程度上能夠減小安全風(fēng)險(xiǎn)，只有政府才有能力和權(quán)力要求公民得到保護(hù)。令人欣慰的是，一些權(quán)威的對于平臺安全性的評估已經(jīng)發(fā)布，例如MachNation2019發(fā)布了云平臺的實(shí)際使用測試報(bào)告，包括Ayla平臺在內(nèi)的20家云平臺均通過了該機(jī)構(gòu)的安全評估測試。

不過，消費(fèi)者無須對物聯(lián)網(wǎng)技術(shù)產(chǎn)生恐慌，因?yàn)橛懈�多的企業(yè)正在為了保護(hù)用戶的數(shù)據(jù)而努力。他們不光幫助企業(yè)保護(hù)終端用戶的隱私，還引導(dǎo)企業(yè)在保護(hù)數(shù)據(jù)的同時正確規(guī)避法律風(fēng)險(xiǎn)，努力促進(jìn)行業(yè)規(guī)范的形成。

文章來源：人民郵電報(bào)那文