IoT安全趋势
URL:https://www.nytimes.com/2018/10/11/opinion/internet-hacking-cybersecurity-iot.html
物联网意象图计算机不安全不算什么新闻。最近的Facebook数据泄露,两年前的美国民主党全国委员会(DNC)邮件泄露事件,2015年的美国人事管理局(OPM)遭网络攻击致400万现任和前任员工信息被盗事件,还有2014年的12306遭黑客撞库攻击致用户信息外泄事件……频繁见诸报端的各种重大计算机安全事件已经让人们见怪不怪习以为常了。这些消息或许只是占据头条位置几天时间就烟消云散,但它们所暴露出来的问题还仅仅是冰山一角。
因为计算机已超出数据处理,正在浸入影响我们生活乃至生命的各种物理设备,计算机安全的风险也在扩大。而且这种安全风险并不是市场能解决的问题,需要政府介入并履行监管职责。
计算机不安全的主要原因,是绝大多数客户都不愿意投入时间和金钱供市场将安全浇筑进他们想要的产品和服务中。让市场急于推出低价产品的后果,就是人们始终被可攻击的互联网协议、满是漏洞的计算机和容易被渗透的网络包围。在安全问题上,既想马儿跑又不给马儿吃草是不会有好结果的。
但我们却容忍了这种安全缺乏的局面,因为长期以来计算机安全主要围绕数据展开。金融机构存储的银行记录或许很重要,但没人会因为银行数据被盗而死。微信账户数据也很重要,但即便账户被盗,也不至于有人因此丧生。无论这些数据泄露或网络攻击事件有多严重,一直以来接受既成事实都比解决根本问题要廉价得多。但是,如今我们使用计算机的方法已经发生了改变,而这种改变令计算机安全问题不再只是数据的问题,设备或网络不安全,是有可能致命的。
今天的很多新型计算机不再是一台主机加一块显示屏,而是现实生活中与我们互动的各种物体。冰箱成了可以制冷的计算机;汽车就是安了四个轮子和一台引擎的计算机。这些计算机感知人体和人体周围的环境,影响人类和人类所处的环境。它们都是一个个的自治系统,通过网络相互沟通,还有着各种形式的实体代理。嵌入到各种设备中的计算机驾驶着我们的车辆,操纵着我们的飞机,运营着我们的电厂。它们控制交通,管理注入我们身体的药剂,调遣城市的消防和急救服务。这些相互连接的计算机与将它们连接起来的网络就组成了我们所谓的“物联网(IoT)”——能直接以物理方式影响世界的网络。
我们已经见证了对吸尘机器人的黑客攻击,体验过能让医院无法进行手术的勒索软件攻击,见识到能让刹车失灵、电厂停转的恶意软件攻击……而且此类攻击还将更为常见,更具灾难性。计算机故障与大多数其他机器故障不同:计算机不仅能被远程攻击,还能被同时批量攻击。老式冰箱是不会感染计算机病毒或被征召进拒绝服务僵尸网络的,没有互联网连接的汽车也不会被远程侵入。但如果是一台装了轮子和引擎的计算机呢?一台联网智能汽车,还有与它同厂家同型号的兄弟们,是有可能被人远程操纵同时冲出路面的。
随着威胁态势的升级,我们长久以来对于安全的一些假设就不成立了。安全漏洞修复操作就是个例子。传统上,面对源源不断的计算机漏洞,我们通过定期给系统打补丁、应用各种更新等手段来缓解安全风险。但这种方法对廉价设备无效,因为廉价设备的制造商没有安全团队来编写补丁程序:如果你想要更新你的数码录像机(DVR)或监控摄像头,那你只有扔掉旧的,买套新的。补丁方法对昂贵设备也不起作用,甚至有可能非常危险。大家都不会想在等待新安全补丁被编写、测试和推送前的几个星期里让有漏洞的联网汽车跑在各种路面上。
另一个不再有效的假设是供应链安全。最近几年,有关俄罗斯和中国制造的计算机和软件中存在政府植入漏洞的政治口水战一直在打。但供应链安全远不止嫌疑公司的地理位置问题:芯片在哪儿制造的?软件在哪儿编写的?程序员是哪国的?一系列问题都需要考虑。
比如说,今年10月4日,彭博社就抛出爆炸性消息,称中国在销往亚马逊、苹果等美国公司的硬件中植入了信息流劫持芯片。涉事公司均严厉驳斥了该报告的准确性,但该报道确实点出了供应链安全问题。随着越来越多的物品变成各种形式的计算机,随着这些计算机被嵌入到事关国家安全的应用中,供应链安全问题也越来越不容忽视。
这些都是市场解决不了的问题。消费者无力辨别产品是否安全,于是卖家更倾向于在消费者能看到的功能上砸钱。互联网和供应链的复杂性令追查特定漏洞来源十分困难。法庭一直以来都没有裁决软件制造商应为漏洞负责。而大多数公司企业通常吝于安全,不愿销售虽然安全,但成本更高、功能更少且晚于同类产品上市的东西。
问题很复杂,解决方案也不可能简单。技术挑战肯定存在,但还不是不可逾越,困难的是政策方面的问题。互联网安全的未来应被当做政策问题视之,从多方面多角度加以考虑,这其中每一步都需要政府的参与。
首先,政府需出台各种标准,严格产品准入,让不安全产品无法损害他人。互联网无国界,但监管是有适用范围的,需根据本地状况加以设计。这些标准至少应包含最低限度的安全规范。比如美国加利福尼亚州就刚刚颁布了《物联网安全法》,禁止留默认口令。默认口令不过是众多安全漏洞之一,要完成的工作还很多,但这是个不错的开端。
这些标准还应足够灵活,能适应不同公司、组织和行业的需求。美国国家标准与技术研究所(NIST)的《网络安全框架》就是个极好的样例,因为该框架的各项建议能够适应各类组织的个别需求与风险。NIST《网络安全框架》包含了如何发现、防止、恢复和响应安全风险的指南,目前还处于自愿应用的阶段,也就是说根本没人遵从。在关键行业强制应用该框架会是个不错的开端。而比较合适的下一步动作,就是为汽车制造、医疗设备、消费品和关键基础设施之类的行业实现更具体的标准。
其次,监管机构应惩罚安全没做好的公司,并建立健壮的责任机制。只有让安全违规的代价比安全投资大得多,才有希望遏制住因违法成本过低带来的种种不安全产品。在这方面,欧盟给世界树立了榜样。欧洲于2018年5月25日全面生效的《通用数据保护条例》(GDPR)是一套涵盖广泛而严厉的隐私保护法律,不仅是在欧盟国家注册的公司需遵守,只要产品或服务的用户是欧盟成员国公民,相应的公司企业也必须遵守该条例;且违规代价非常巨大——最高可致违规公司全球总营业额4%的巨额罚款!正如醉驾入刑后中国因酒驾、醉驾导致的一般、较大以上交通事故起数大幅下降,造成的人员伤亡数量明显减少;重典之下公司企业自会加大安全投入,避免承受安全违规带来的重大声誉、经济、业务影响。
我们需确保公司企业对其产品和服务负责,且受不安全影响的用户可以获得赔偿。一直以来,美国司法机构都拒绝对软件漏洞追究责任,受数据泄露影响的用户也无法证明具体的伤害。“谁主张谁举证”的原则不适用于信息安全领域,这个领域里的用户是绝对弱势群体,我们应设置法定损害赔偿——法律明文规定无需任何进一步证明即可获得赔偿的损害。
最后,安全优先应被当成最高准则。互联网连通全球,人人可用,我们对安全所做的任何改善也会惠及那些我们希望还是保持不安全状态比较好的人,比如罪犯、恐怖分子、敌对政府……但我们没有选择。修复计算机漏洞的安全收益远超保留可利用漏洞的所谓“安全优势”。(此处打脸收集漏洞秘而不宣的NSA、CIA、FBI一党。)
监管无可避免。这不是在政府监管与不监管之间的选择,而是在明智的政府监管与欠考虑的政府监管之间的选择。没必要恐惧政府监管。监管不是为了扼制创新,设计良好的监管方案反而有可能刺激创新,因为可以营造出安全技术产品市场。
若无政府干预,没有哪个行业会大幅提升其产品的安全性。汽车、飞机、食品、药品、消费品、、医疗设备、工作场所、饭店、金融产品,这一系列民生行业都需要政府监管以保障安全。
互联网安全需要人来维护,需要那些愿意投入时间、金钱去做正确之事的人;那些决意引入最佳法律和政策的人。互联网一直在成长进化;我们还有时间来完善安全,但必须加紧动作,赶在下一次信息安全灾难袭来之前。是时候让政府介入并加以监管和疏导了。不是明天,不是下周,不是明年,也不是下一个大科技公司或政府机构被黑的时候,就是现在!
加州《物联网安全法》相关新闻链接:https://www.cnet.com/news/california-governor-signs-countrys-first-iot-security-law/
NIST网络安全框架:https://www.nist.gov/cyberframework