將物理基礎(chǔ)設(shè)施連接到互聯(lián)網(wǎng)，會使系統(tǒng)容易遭受新的安全威脅。讓高管們夜不能寐的威脅因行業(yè)差異而各不相同，但各個領(lǐng)域的網(wǎng)絡(luò)安全問題無疑都在惡化。

制造業(yè)的安全人員擔心員工將感染了病毒的U盤插入機器，醫(yī)院管理人員則擔心惡意軟件毀掉未打補丁的核磁共振成像(MRI)機器，或是黑客會引導(dǎo)輸液泵注射致命劑量的藥物。

Josh Corman是位于馬薩諸塞州的計算機軟件公司PTC的首席安全官，他總結(jié)了六個理由，說明物聯(lián)網(wǎng)安全與傳統(tǒng)信息技術(shù)的為何不同，以及為何更難處理。

[[243809]]

首先是物聯(lián)網(wǎng)安全問題的后果更為可怕。我們將越來越多的物理系統(tǒng)和設(shè)施連接到無線網(wǎng)絡(luò)，風險也越來越高。一旦汽車或輸液泵受到攻擊，可能會導(dǎo)致人員死亡。

由此引出了Corman提出的第二個原因，即物聯(lián)網(wǎng)安全是一項特殊挑戰(zhàn)：對手與我們此前所見都不同。他們不再是試圖賺錢或制造麻煩的獨行黑客，當今的對手是國家黑客系統(tǒng)，我們面對的是全力以赴的網(wǎng)絡(luò)戰(zhàn)爭。

2010年摧毀伊朗離心機的震網(wǎng)(Stuxnet)病毒可能是最早的案例。然后是2017年8月，一家沙特化學工廠遭到了一場旨在引發(fā)爆炸和破壞石油化工產(chǎn)品生產(chǎn)的黑客攻擊。專家認為，這次襲擊由國家支持，目的是傳遞政治信息。

Corman指出的另外兩大原因源于時限和經(jīng)濟因素。當一家公司購買傳統(tǒng)信息技術(shù)系統(tǒng)時，只能在一定時限內(nèi)得到軟件公司的支持。直到過去的幾個月，一些芯片制造商和軟件供應(yīng)商才開始為物聯(lián)網(wǎng)產(chǎn)品提供為期7年和10年的支持。有一些仍然沒有提供任何詳細的支持合同，或者將期限限制在2到3年。

在某些情況下，這樣做是因為經(jīng)濟上還不允許。一個聯(lián)網(wǎng)產(chǎn)品產(chǎn)生的利潤可能微乎其微，但或許需要許多年的更新、補丁和安全評估。未來出售商品的成本可能還需要包括年度安全更新和補丁。

Corman的第五個原因與一個可怕的現(xiàn)實有關(guān)，即許多聯(lián)網(wǎng)設(shè)備都是由不同公司生產(chǎn)并最后組裝在一起的軟件、硬件和固件構(gòu)造出來的。只要有一個薄弱環(huán)節(jié)就能制造出漏洞，因此，如果為汽車開發(fā)車載信息系統(tǒng)的公司不更新其軟件，那么整個汽車就會變得脆弱易受攻擊。IT世界也面臨著類似的挑戰(zhàn)，但通過多年的合作，制造商們已經(jīng)在系統(tǒng)升級以使每個組件都得到及時修補問題上達成了一致。

最后，許多連接設(shè)備都存在于與任何IT系統(tǒng)不同的環(huán)境中。在家里，沒有IT經(jīng)理可以將補丁推送到連接的冰箱。在工業(yè)環(huán)境中，修補一臺機器可能會導(dǎo)致它停止使用線路上的其他設(shè)備。在這里，與停止每天產(chǎn)生數(shù)十萬美元收入的流程的風險相比，黑客攻擊的風險似乎很低。

很多聯(lián)網(wǎng)設(shè)備所處的環(huán)境與IT系統(tǒng)并不相同。沒有IT經(jīng)理會將補丁推送到家庭環(huán)境里聯(lián)網(wǎng)的冰箱上。而在工業(yè)環(huán)境下，給一臺機器打補丁可能會導(dǎo)致它與生產(chǎn)線上的其他設(shè)備都停止工作。與使每天產(chǎn)生數(shù)十萬美元收入的生產(chǎn)線停下來相比，黑客攻擊這些聯(lián)網(wǎng)設(shè)備的風險似乎很低。

在IT世界中，生命周期管理軟件產(chǎn)業(yè)已經(jīng)發(fā)展成熟，那些生命周期管理軟件可以跟蹤補丁并回滾有bug的軟件。而在物聯(lián)網(wǎng)世界中，我們還沒有到達這一步。