要求物联网设备经过安全认证是完全没有道理的。
法规是笨拙的工具,最好留到最后使用。网络安全法规并不灵活,往往在制定之日就已过时,并成为行业遵循的最低门槛。这扼杀了安全创新和优秀实践的应用。从好的方面来看,法规确实迫使那些忽视基本安全实践的行业达到了一个共同的标准。但历史表明,这些行业很少会超出监管要求。我们每周在新闻中看到的所有数据泄露事件中,几乎所有这些组织都遵守了法规要求,但他们正在丢失数十亿条数据记录。合规不等于安全!
然而,有些人在游说政府,鼓吹物联网认证法规。我发现他们的想法是短视且不成熟的。
在某些情况下,法规是绝对必要的,但仅适用于具体的应用以实现特定目标。在某种程度上,保护在线儿童的隐私,保护敏感的医疗记录,或要求对信用卡交易进行控制,这些都在一定程度上纳入了法规范围。
我是一名热情的安全倡导者,有些人甚至说我是狂热分子,但我不喜欢这种要求物联网设备进行安全认证的想法。它太过宽泛,破坏了推动快速创新的经济模式。
对于手机、平板电脑、个人计算机或服务器,我们不需要此类认证。那么,为什么有人会认为要求对低功耗物联网设备进行认证是一个好策略?
认证会增加产品开发的时间和成本。物联网设备的用途非常广泛,而且往往比功能齐全的计算系统更便宜。此外,认证规模是另一个问题,因为物联网设备的数量很快将超过500亿台。确定谁将对全新类别的设备进行认证以及将接受哪些标准的过程是一场噩梦。并且在如此大的规模上,执行这些要求将是昂贵的,也是一场噩梦。官僚主义和成本会给市场增加巨大的摩擦,会让许多公司和产品望而却步。
毫无疑问,物联网需要更大的安全性,但建议过于宽泛的法规为时过早,并且可能损害从智能设备中受益的每个人。还有许多其他选择和解决方案,它们可以以更低的成本提供更好的保护,而不会灾难性地阻碍创新、竞争力和健康的市场周期。建立用于设计和认证的标准、优秀实践是一个很好的开始。推动消费者认可并重视安全设计,可以为制造商相互竞争创造竞争优势。此外,开放的漏洞奖励、公共安全研究以及渗透测试认证的共享将推动物联网行业更好的流程。
如果这些做法没有被采纳或采用不够充分,那么我们应该讨论监管问题。但是首先,我们必须寻求更优化的途径来与物联网行业建立安全伙伴关系,以便生态系统能够更好地适应不断变化的威胁,支持创新,并值得所有人信赖。让我们不要急于制定僵化的法规模式,因为它们仅应被视为最后的选择。