美国军方希望确保远程工作人员不会让家中的智能设备监听任何政府工作。
在5月25日的一份备忘录中,美国陆军首席信息官拉杰·伊耶(Raj G. Iyer)制定了远程工作人员必须遵守的强制性程序,以减少政府官方信息的泄露。它们适用于所有军事部门、文职人员和承包商。
该备忘录指出,所有获得批准的远程工作人员的远程工作环境必须没有物联网设备,并立即生效。其中包括70多种设备,包括蓝牙扬声器、健身追踪器、智能厨房电器、电视和游戏机以及家庭安全系统等。该备忘录特别提到了来自亚马逊、谷歌、微软、苹果等公司的个人家庭助理,如Alexa和Siri。
如果无法做到这一点,远程工作人员必须从工作区中移除所有具有自动收听功能的物联网设备,例如智能电视和智能扬声器。此外,远程工作人员应关闭其工作区域的个人智能手机或平板电脑,或禁用“音频”访问功能,如语音转文本和自动化助理(如Siri)。
备忘录称,“个人家庭助理会捕捉并记录家庭活动中的对话”。通电的数字助理可以监听和记录对话,甚至意外记录的聊天内容也可以包括关键非机密信息、个人识别信息或国防部任务和作战数据的音频或图像。
Iyer说,物联网从智能设备收集的数据存在安全和隐私风险。执法部门可以使用它进行调查,营销人员也可以使用它进行促销。备忘录称,这些服务提供商的数据可能遭到黑客攻击,使外国情报机构使用连网设备收集间谍信息。这些设备还可以用于僵尸网络,就像Mirai恶意软件一样,该恶意软件在2016年劫持了不安全的连网安全摄像头,并向一家互联网基础设施公司发起了DDoS攻击。
备忘录指出,远程工作人员应该意识到,这些连网设备不如传统的IT设备安全。他们通常使用默认的用户名和密码,并且它们的网络连接特性为对手提供了很大的攻击面。风险不仅限于远程工作人员。Iyer写道,远程工作人员与国防部网络的连接可能会“影响国防部信息系统的安全态势,并改变信息系统的风险评估,这可能需要分配额外的安全控制或引入补偿控制,以将风险降低到可接受的水平。”
