要点:
- 物联网设备极易受到网络安全威胁。
- 美国联邦通信委员会(FCC)宣布了一项网络信任标志,以制定物联网网络弹性标准。
- 许多业内领先企业已经签约。
安全、效率和流程认证标志并不是什么新鲜事。从洗衣机或冰箱上的能源之星到蔬菜的农业部有机标志,再到电影上的R级标志,这些都是众所周知的现实:这些标志证明X产品在向公众出售之前已经达到了Y标准。但现在,出现了一项新标准,其目标是解决攻击消费者家庭和生活的网络安全威胁。
拜登政府在FCC的支持下,于2023年7月宣布推出“网络信任”标志,预计于2024年生效。企业将可以自愿签署网络信任标志,并且,假设其产品通过了测试,能够抵御网络安全威胁,将能够在这些产品上显示该标志,以表明其产品不仅具有弹性,而且企业“关心”其销售给客户的产品的网络弹性。
认证标志有演变成事实上的“规则”的习惯,整个购买链放弃了对风险和评级的个人评估——如果产品上有“标志”,通常被认为是足够好的,至少可以放心使用。
不过,与之前的大多数认证标志相比,网络信任(Cyber Trust)标志有一个有趣的附加内容。由于网络安全威胁和网络安全弹性可能会随着时间的推移而发生变化,演变成攻击以前安全的设备,或者破坏以前的修补,因此网络信任标志将分为两部分。
应对购买时及购买后的网络安全威胁
首先,与能源之星或农业部有机认证一样,产品上将印有一个标志,发证机构确信该产品在销售时符合必要的标准,并达到了获得认证资格所需的网络弹性。
但由于物联网和工业物联网市场,以及网络安全威胁的性质与能源之星产品制造商的市场截然不同,因此网络信任标志将有第二部分。第二部分将是一个可扫描的二维码,其允许用户在以后检查其产品是否仍然具有网络弹性,可能会提示用户下载最新的可用安全补丁。
虽然网络信任标志本身很可能会附带一系列针对其所附特定产品的网络安全威胁抵御信息,但二维码将允许买家访问更多信息,例如设备收集的数据类型、其存储位置和方式,甚至制造商关于共享所收集数据的政策。随着时间的推移,这可能会导致物联网和工业物联网市场出现相对的数据实践精英制度。
确保连接设备免受网络安全威胁
首先,现在几乎所有东西都可以是一个连接的设备,从牙刷到洗衣机、冰箱到肉类温度计、智能手机到药物监测仪再到“共享控制”对接插头。
家庭网络上的任何连接设备都可能成为潜在黑客的入口点,其可以利用系统中的漏洞进行横向移动,并控制系统的其他部分,例如数据丰富的笔记本电脑。
随着网络信任标记成为日常现实中更重要的一部分,家庭网络中的此类网络安全威胁可能需要一段时间才能消失,但最终,只有在智能设备中制定有关网络安全威胁和弹性的行业标准才能消除这种威胁。
但不出意外的话,拥有网络信任标志的设备可能会很好地教育更广泛的公众,让其了解所面临的网络安全威胁的数量和性质,以及生活在无处不在的互联设备世界中可能受到的攻击。
扩张的潜力
虽然就目前的形式而言,网络信任标志旨在仅覆盖国内联网设备(现有选项可扩展到覆盖健身追踪器,这些设备通常连接到多个网络,而不仅仅是国内网络),但这个想法至少在理论上可以随着时间的推移扩展到商业供应链中的工业物联网设备。
发达国家的每一个仓库、每一栋办公楼、每一个工作场所都肯定布满了工业物联网设备,就像家庭环境中不安全的牙刷一样,其中任何一个都可能成为整体安全的薄弱点。
整个供应链和整个行业突然有能力只选择标有“网络信任”的工业物联网设备,这可能会产生类似的良性循环,因为企业不仅努力保护自己的系统,而且还要有能力向供应链中的其他参与者表明,其认真对待网络安全威胁。
假设网络信任标志被证明可以有效减少国内互联设备世界中网络安全威胁的数量和有效性,那么除了此举带来的纯粹后勤挑战之外,没有理由不最终推出商业版本。
一些联网设备行业的最大参与者已经自愿签署了网络信任标志计划,包括Google、Samsung、Logitech、Amazon、Best Buy和连接标准联盟。
事实上,这是唯一一个让网络信任标志具有潜在争议的问题。虽然,强制实施一个标准来应对物联网设备中的网络安全威胁只能使该行业和使用其产品的人变得更安全、更好;但也有人认为,这样的标记往往会将市场集中到一个相对垄断的市场。只有更多产的参与者才能负担得起测试、硬件和软件升级,以满足潜在的年度重新认证要求。
世界上物联网和工业物联网设备的庞大数量(到2023年约为154亿,是人类数量的两倍多)意味着,网络信任标志的发展带来的重大变化可能会很缓慢。
但作为一种更有意识地保护个人和家庭——最终可能是保护整个供应链和行业免受网络安全威胁的举措,无论是否存在垄断担忧,都值得称赞。