這種解決物聯(lián)網(wǎng)安全挑戰(zhàn)的方法是否可以奏效?以及消費(fèi)者意識(shí)如何有助于解決問題。

根據(jù)英國廣播公司的一篇文章，英國數(shù)字部長馬戈特·詹姆斯(Margot James)提議立法引入一種新的產(chǎn)品標(biāo)簽系統(tǒng)，向消費(fèi)者展示物聯(lián)網(wǎng)產(chǎn)品的安全性。

[[264348]]

為了獲得必要的標(biāo)簽，物聯(lián)網(wǎng)設(shè)備需要：

• 默認(rèn)情況下只有一個(gè)密碼
• 明確說明將提供多長時(shí)間的安全更新
• 提供漏洞披露的公共聯(lián)系方式

該倡議遵循加州的立法，該立法于2020年生效，并禁止在連網(wǎng)設(shè)備上使用弱密碼。擬議中的英國法規(guī)和實(shí)際的加州立法都是朝著正確方向邁出的一步，或者至少會(huì)讓供應(yīng)商在開發(fā)物聯(lián)網(wǎng)產(chǎn)品的設(shè)計(jì)階段考慮安全性。但是，立法能解決問題嗎?

現(xiàn)在讓我們停下來思考一下物聯(lián)網(wǎng)設(shè)備的實(shí)際含義。加州立法提供了以下定義：連網(wǎng)的設(shè)備“是指能夠直接或間接連接到互聯(lián)網(wǎng)并被分配了互聯(lián)網(wǎng)協(xié)議地址或藍(lán)牙地址的任何設(shè)備或其他物理對(duì)象”。這涵蓋了各種各樣的設(shè)備、汽車、燈泡、筆記本電腦、恒溫器到手機(jī)等，名單是無窮無盡的。

我桌上有一個(gè)藍(lán)牙音響，據(jù)我所知，它沒有密碼，不收集數(shù)據(jù)，也不傳輸任何信息。加州立法是否涵蓋這種設(shè)備?它需要僅有的密碼嗎?

同樣，在英國購買特斯拉汽車的消費(fèi)者是否應(yīng)該期望在汽車上看到標(biāo)簽，描述它符合物聯(lián)網(wǎng)的基本安全法規(guī)?還是特斯拉內(nèi)部每個(gè)可以獨(dú)立通信的設(shè)備都需要有個(gè)安全標(biāo)簽?

如此不安全

對(duì)安全性的需求是毫無疑問的，一些物聯(lián)網(wǎng)設(shè)備制造商(可能很多)未能采取有效措施保護(hù)其設(shè)備，正是這種失敗促使政治家采取行動(dòng)。在英國，這是一項(xiàng)自愿性的行為準(zhǔn)則，而這正是現(xiàn)在向立法邁進(jìn)的一部分。

但一般來說，立法會(huì)扼殺創(chuàng)新?？萍夹袠I(yè)已經(jīng)開始遠(yuǎn)離密碼，微軟信息安全官布雷特·阿瑟諾(Bret Arsenault)宣布，90%的微軟員工可以在沒有密碼的情況下登錄公司網(wǎng)絡(luò)，因?yàn)楣驹O(shè)想了一個(gè)“沒有密碼的世界”。其員工正在使用其他選項(xiàng)，包括Windows Hello和authenticator應(yīng)用程序，這些選項(xiàng)提供面部識(shí)別、指紋和雙因素身份驗(yàn)證等替代選項(xiàng)。

直到明年才生效或仍在提議中的立法在完全生效之前可能就已經(jīng)過時(shí)了。它將迫使設(shè)備制造商使用一個(gè)行業(yè)正試圖淘汰的技術(shù)，以尋求更安全的選擇。

英國國家網(wǎng)絡(luò)安全中心(NCSC)最近對(duì)可能被威脅的數(shù)據(jù)進(jìn)行了分析，發(fā)現(xiàn)全球有2320萬用戶帳戶使用“123456”進(jìn)行安全保護(hù)，770萬用戶使用“123456789”作為密碼。這些數(shù)據(jù)表明，消費(fèi)者沒有參與保護(hù)他們的在線賬戶。

我最近在美國和阿根廷的網(wǎng)絡(luò)安全活動(dòng)上介紹了在將任何設(shè)備連接到網(wǎng)絡(luò)時(shí)，需要考慮安全性，特別是在智能建筑中。我向觀眾提出一個(gè)問題：“您們上次在車上更新信息娛樂系統(tǒng)是什么時(shí)候?”——在兩個(gè)地方都有相同的結(jié)果。觀眾看起來很困惑，他們是網(wǎng)絡(luò)安全專家，但是他們通過藍(lán)牙將個(gè)人手機(jī)連接到他們永遠(yuǎn)不會(huì)更新的系統(tǒng)。有趣的是，第二天一位與會(huì)者與我聯(lián)系并表示，盡管它已經(jīng)過時(shí)，但他和經(jīng)銷商都無法更新他的信息娛樂系統(tǒng)。

快進(jìn)幾年，您就可以看到全新的物聯(lián)網(wǎng)設(shè)備，它的產(chǎn)品標(biāo)簽顯示它有一個(gè)密碼，而且五年內(nèi)都會(huì)有更新。為了簡(jiǎn)單起見，您將密碼設(shè)置為與家中設(shè)備上的所有其他密碼相同，您可以插入設(shè)備并享受它所帶來的任何功能的便利性。當(dāng)制造商向您發(fā)送有關(guān)固件更新的電子郵件通知時(shí)，假設(shè)您已注冊(cè)了該設(shè)備，您會(huì)在設(shè)備工作時(shí)將其刪除，并抱怨為什么要更新工作正常的設(shè)備。

雖然立法推動(dòng)工業(yè)界提高設(shè)備的安全性，但消費(fèi)者的教育和參與可能會(huì)讓他們?cè)诩抑懈影踩２恢欠褚材転榇肆⒎?