这种解决物联网安全挑战的方法是否可以奏效?以及消费者意识如何有助于解决问题。
根据英国广播公司的一篇文章,英国数字部长马戈特·詹姆斯(Margot James)提议立法引入一种新的产品标签系统,向消费者展示物联网产品的安全性。
为了获得必要的标签,物联网设备需要:
- 默认情况下只有一个密码
- 明确说明将提供多长时间的安全更新
- 提供漏洞披露的公共联系方式
该倡议遵循加州的立法,该立法于2020年生效,并禁止在连网设备上使用弱密码。拟议中的英国法规和实际的加州立法都是朝着正确方向迈出的一步,或者至少会让供应商在开发物联网产品的设计阶段考虑安全性。但是,立法能解决问题吗?
现在让我们停下来思考一下物联网设备的实际含义。加州立法提供了以下定义:连网的设备“是指能够直接或间接连接到互联网并被分配了互联网协议地址或蓝牙地址的任何设备或其他物理对象”。这涵盖了各种各样的设备、汽车、灯泡、笔记本电脑、恒温器到手机等,名单是无穷无尽的。
我桌上有一个蓝牙音响,据我所知,它没有密码,不收集数据,也不传输任何信息。加州立法是否涵盖这种设备?它需要仅有的密码吗?
同样,在英国购买特斯拉汽车的消费者是否应该期望在汽车上看到标签,描述它符合物联网的基本安全法规?还是特斯拉内部每个可以独立通信的设备都需要有个安全标签?
如此不安全
对安全性的需求是毫无疑问的,一些物联网设备制造商(可能很多)未能采取有效措施保护其设备,正是这种失败促使政治家采取行动。在英国,这是一项自愿性的行为准则,而这正是现在向立法迈进的一部分。
但一般来说,立法会扼杀创新。科技行业已经开始远离密码,微软信息安全官布雷特·阿瑟诺(Bret Arsenault)宣布,90%的微软员工可以在没有密码的情况下登录公司网络,因为公司设想了一个“没有密码的世界”。其员工正在使用其他选项,包括Windows Hello和authenticator应用程序,这些选项提供面部识别、指纹和双因素身份验证等替代选项。
直到明年才生效或仍在提议中的立法在完全生效之前可能就已经过时了。它将迫使设备制造商使用一个行业正试图淘汰的技术,以寻求更安全的选择。
英国国家网络安全中心(NCSC)最近对可能被威胁的数据进行了分析,发现全球有2320万用户帐户使用“123456”进行安全保护,770万用户使用“123456789”作为密码。这些数据表明,消费者没有参与保护他们的在线账户。
我最近在美国和阿根廷的网络安全活动上介绍了在将任何设备连接到网络时,需要考虑安全性,特别是在智能建筑中。我向观众提出一个问题:“您们上次在车上更新信息娱乐系统是什么时候?”——在两个地方都有相同的结果。观众看起来很困惑,他们是网络安全专家,但是他们通过蓝牙将个人手机连接到他们永远不会更新的系统。有趣的是,第二天一位与会者与我联系并表示,尽管它已经过时,但他和经销商都无法更新他的信息娱乐系统。
快进几年,您就可以看到全新的物联网设备,它的产品标签显示它有一个密码,而且五年内都会有更新。为了简单起见,您将密码设置为与家中设备上的所有其他密码相同,您可以插入设备并享受它所带来的任何功能的便利性。当制造商向您发送有关固件更新的电子邮件通知时,假设您已注册了该设备,您会在设备工作时将其删除,并抱怨为什么要更新工作正常的设备。
虽然立法推动工业界提高设备的安全性,但消费者的教育和参与可能会让他们在家中更加安全。不知您是否也能为此立法?