物联网的概念已经火了很多年,直到近几年才开始有了一定规模的应用,这主要得益于网络基础设施的完善以及智能传感器设备价格的下降。随着物联网的普及应用,人们对于物联网创新应用和潜在风险的关注都在提升。
今天,我们来探讨物联网的潜在风险以及用户、开发人员和保险公司等群体如何采取的相应措施来应对这些风险。
过去二十年来,在分布式网络技术的发展推动下,物联网(IoT)生态系统已发生了根本性的变化。据麦肯锡估计,到2025年,全球将拥有500亿台以上的联网设备,比2010年增长400%,并创造11万亿美元的经济价值。过去20年来网络技术的激增为企业、政府和开发人员创造了无数的机会去探索更多的应用和应对挑战。
随着物联网设备和技术的飞速发展,网络威胁和攻击在全球范围内已经对个人和组织机构造成了显著的威胁。
我们已经看到,安全一直是物联网技术制造商要面对的重要问题,以应对网络面临潜在的网络威胁。以下是Brit Insurance物联网专家和技术负责人Andrea Gaglione对物联网的潜在风险以及用户、开发人员和保险公司等可以采取应对应对措施一些建议。
谁在使用物联网?
简而言之,物联网是一个物理对象系统,可以通过电子设备发现、监视、控制或与交互,这些电子设备通过各种网络接口(通常是无线方式)进行通信,并最终可以连接到更广泛的互联网。
实际上,这些物理对象可以通过以下方式进行数字增强:
- 传感器测量物理参数(例如温度、光线、运动);
- 用于控制警报、显示、机械的执行器;
- 与远程设备进行交互的通信接口;
- 计算设备以运行访问传感器、执行器和通信接口的程序。
IoT的领域范围从智能标签和近场设备到感测和监视(可穿戴)设备,再到更复杂的对象(如电器,机器和汽车)。 这些智能设备构成了智能环境的基础,例如智能家居、智能建筑、智能工厂和智慧城市。
物联网解决方案已经在多个垂直细分市场的下一代应用开发中发挥了重要作用。除了流行的智能家居和消费类应用之外,物联网还为各种业务和行业带来了巨大的变革。例如,在制造业中,物联网被视为第四次工业革命(工业4.0)的核心,物联网能够打造新的数据驱动服务,从而提高运营效率,优化供应链并实施预测性维护策略。
在农业中,支持物联网的设备正用于监测土壤和环境参数并推动灌溉策略。世界各地都在制定长期计划,通过部署物联网基础设施,促进创建新的以人为中心的服务,实现灵活的政策制定从而让那个城市“变得智能”。
物联网有什么风险?
随着物联网系统规模的扩大,由于巨大的“攻击面”和潜在入口点的数量,安全和网络威胁被无限放大。根据最近的统计数据,2019年已有266.6亿台IoT设备处于在线运行状态,而且还在以平均每秒新增127个设备的速度连接到互联网。
目前,我们面临关键的挑战是物联网所采集和使用的所有数据的管理和保护。不过,我们也有多种方法可以解决设备开发商、用户和保险公司所面临的问题。
与大多数网络风险一样,数据是核心问题,尤其是客户和个人数据的丢失或泄露。因此,隐私应该是物联网的重要组成部分,尤其是在数据传输方面。随着供应链和业务流程越来越依赖网络设备,企业就更容易受到攻击。如果黑客攻击导致连接中断,将造成重大业务中断导致收入下降,甚至声誉受损。
最后,物联网带来的新风险还有网络物理设备的攻击,如医疗设备起搏器,自动驾驶汽车或由连接设备控制的昂贵工业流程等。如果这些设备的被黑客恶意控制,可能会造成严重的生命安全事故,或是巨大的财产损失。
Stuxnet是计算机蠕虫破坏真实设备的最早实例之一,而且不是仅仅是进行黑客攻击破坏软件而已,Stuxnet的目标是可编程逻辑控制器(PLC),并对它们进行重新编程,从而破坏真实的物理设备。
Stuxnet病毒于2010年6月首次被检测出来,是第一个专门定向攻击真实世界中基础(能源)设施的“蠕虫”病毒,比如核电站,水坝,国家电网。作为世界上首个网络“超级破坏性武器”,Stuxnet的计算机病毒已经感染了全球超过 45000个网络,伊朗遭到的攻击最为严重,60%的个人电脑感染了这种病毒。计算机安防专家认为,该病毒是有史以来最高端的“蠕虫”病毒。
尽管Stuxnet并不是典型的IoT攻击,因为它依赖于PLC连接到Windows计算机,清晰地表明了入侵关键任务设备所造成的损害。
我们如何减轻风险?
目前为止,对于物联网制造商而言,已经在产品推向市场的速度与系统的安全性之间取得了一些平衡。正如我们在IoT的第一波浪潮中所看到的那样,安全性不是优先考虑的问题,而是更多的考虑数据泄露和隐私法规的问题。
对于用户本身而言,无论是个人、企业还是政府,都有责任为其所使用的物联网设备采取最佳的安全保护措施。专业安全技术人员应在制定公司有关物联网的政策方面发挥积极作用,应对其业务面临的威胁负责并保持系统最新状态。从系统设计初期就考虑安全要求,使用强密码和安全密钥,并定期更新固件;监视设备和系统,检测并快速响应安全事件;通过从制造商获取补丁来不断更新设备提升安全性。
保险公司在降低风险方面发挥着至关重要的作用,通过不同程度的承保范围应对风险,包括网络受攻击、物联网业务中断和数据盗窃等。
保险起什么作用?
在谈到保险和物联网的结合时,我们通常会把重点放在保险行业中的应用以及由此带来的各种商业机会上。实际上,物联网数据可用性的提高将使保险公司能够更好地评估风险,并开发增值服务,从而与投保人建立更紧密、更主动的关系。此外,物联网将提供对客户行为的前所未有的洞察力,并支持索赔管理。
另一方面,在为物联网设备和网络提供保险时,保险公司应采用与传统网络产品相同的方式来服务物联网。除了提供保险之外,越来越多的保险公司还引入了网络指南,以帮助客户更好地了解确保定期更新系统的风险和重要性。
很明显,IoT在我们工作与生活中正变得越来越重要。随着应用的增长,我们需要清晰地到物联网存在的风险以及如何减轻这些风险。