前几天,一则“旧闻”又引起了人们的注意。互联网巨头谷歌公司的执行董事长埃里克.施密特在一次座谈会上大胆预言:“互联网即将消失,一个高度个性化、互动化的有趣世界——物联网即将诞生。”施密特的此番言论可谓自我颠覆。他说:“我可以非常直接地说,互联网将消失。”
其实,施密特这番话是在2015年年初说过的。这里,我不想说物联网和互联网的关系,我只想说说物联网的安全问题。
从2015年2月到现在,半年多的时间过去了,物联网代替互联网的迹象比较明显。但与此同时,物联网却暴露出了很多从互联网沿袭过来,但甚至比互联网安全问题更为低级的安全问题。在笔者看来,我们的互联网公司先别忙着让物联网代替互联网,还是注意一下物联网的安全问题吧!否则,一个不安全、漏洞百出的物联网世界又有什么意义呢?
在2015年月,就物联网安全问题,笔者曾经在德国歌德塔中国分公司工作人员的协助下,采访过欧洲反计算机病毒协会创始人、德国歌德塔G DATA软件公司安全顾问艾迪.威廉姆斯(Eddy Willems)。根据对他的采访实录,我整理了《在安全与实用中间为物联网寻找一种平衡》一文在网络发表。半年多之后,笔者再次与歌德塔中国分公司工作人员取得联系,向Eddy Willems咨询了几个关于物联网安全的问题。
我的第一个问题:这半年来,物联网跟我们的生活越来越近,但问题随之越来越多,请问,目前出现的最具有代表意义、与我们生活息息相关的安全问题是什么?
Eddy Willems通过歌德塔中国分公司工作人员回答:
“和人们日常生活最密切相关的是车联网的安全风险。在今年年初的宝马事件之后,菲亚特克莱斯勒汽车公司在六周内因为软件漏洞发布了两次召回令,第一次因为无线电系统的软件漏洞,涉及到140万辆轿车和卡车。第二次有7810辆2015款吉普Renegade SUV被召回,原因是它的触摸屏存在的安全漏洞有黑客对其进行远程操控的风险。雪佛兰Corvette跑车的安全系统也被攻破,黑客可以轻易远程控制刹车系统。”
我的第二个问题:物联网安全风险对个人信息安全的影响是什么样的?
Eddy Willems通过歌德塔中国分公司工作人员回答:
“如你所问,另一不能忽视的物联网安全风险是个人信息安全。运动手环,计步器和移动运动设备成为当下运动达人的时尚必备品,可是用户对信息安全风险认识普遍不足。世界著名的IT安全独立测试机构AV-Test测试了个人健身数据如何从这些设备传输到智能手机和云服务器上,以及手机健身追踪应用的安全性。测试结果显示,用户的运动结果都会被纪录并且通过用户智能手机上的应用程序进行分析,用户的健身情况可以一目了然地反映出来。这其中不容忽视的安全风险包括传输过程的安全性,中间人得到和泄露信息,手机应用程序被篡改等。用户的健康信息可能被保险公司利用来进行产品设计和广告推销,更危险的是用户的运动信息可以反映出用户的运动习惯,一旦这些信息被犯罪分子得到,便可推测出用户不在家的时间,进行入室抢劫。”
“根据国际数据公司IDC (International Data Corporation)预测,到2020年会有超过2120亿设备与300亿自动连接的设备 ,传输数据量会超过3千万兆数据。数据盗用风险会成倍增加 ,并且会离百姓的日常生活越来越近。”
我的第三个问题:如何最大限度地减少物联网的风险问题呢?
Eddy Willems通过歌德塔中国分公司工作人员提出了几点个人建议:
“一,物联网有关的厂商要将安全列为产品设计的主要因素,提高对与智能设备相关的软件和应用的安全意识,设立物联网的安全测试。二,建立机构,对不同行业的物联网建立安全标准,对定义的安全方面进行定时检测。三,从目前的情况看,物联网总在重复犯同样的错误。减少安全的缺口的最佳办法应该是努力从产品设计初期将安全的风险减少到最低,制定整体且系统的计划和高的安全标准是实现这一目标的重要前提。”
仔细读完Eddy Willems的回答,我感觉,其实物联网的安全风险最根本的原因还是一个词——“态度”。如果物联网企业对安全足够重视,如果用户对安全足够重视,安全问题就会减少许多。要知道,目前物联网出现的安全问题,其实就是互联网安全问题,只不过企业缺乏警惕而已。像智能汽车,像智能家居,如果在生产设计的时候多考虑一下如何防备黑客,防患于未然,那很多问题都不会发生。
所以,我想对那些正在忙着从互联网转到物联网的企业说一句:互联网始终是物联网的基础,先别忙着让物联网代替互联网,还是注意一下从互联网转移到物联网的安全问题吧!