私营部门往往把政府视为问题所在,而不是解决方案。但是,越来越多的专家认为,在解决物联网(IoT)猖獗和不断增加的安全风险时,事实恰恰相反。
虽然这不是一个一致的观点,但人们普遍认为,物联网给现代生活带来的福祉正在被它的诅咒所破坏,而市场不会纠正这些诅咒。
它几乎不可思议的好处被充分记录和宣传——自动驾驶汽车、在几百英里外锁门或调节室内恒温器的能力,在几年前还只是幻想。但中国数以亿计的联网设备缺乏安全保障,不仅危及个人用户,也危及公共和私人基础设施,包括互联网本身的基础设施。
10月份针对DNS (Internet Domain Name Service)提供商Dyn的分布式拒绝服务(DDoS)攻击是最着名的插图。
它只在一天的部分时间内关闭了一些热门网站,造成了不便。但它可能在僵尸网络中使用了数以百万计的设备(如网络摄像头和dvr)来发起攻击,这表明物联网可以提供一大批设备,如果目标是医院或国家的关键基础设施,这些设备可能会破坏生命和安全。
而个人用户可能并不知道他们的设备是被“征召”来进行攻击的。
因此,由于开发商/制造商或个人用户都没有受到影响,这些风险是市场(竞争和消费者压力)尚未纠正的。根据11月中旬在众议院能源和商务委员会作证的专家们的说法,这意味着政府必须更积极地干预。Virta Labs首席执行官、密歇根大学教授Kevin Fu博士;戴尔·德鲁(Dale Drew)是Level3通信公司(一家互联网骨干提供商)的首席技术官。
“这是一个根本性的市场失灵,”Schneier说.“基本上,市场将功能和成本置于安全之上。”
他说,缺乏安全是“一种无形的污染”。和污染一样,唯一的解决办法就是监管。”
对该宣言有各种各样的看法。KnowBe4的首席执行官Stu Sjouwerman说,施奈尔是“绝对正确的——FCC应该是对这些设备进行最低安全标准测试的机构,比如在设备投入生产之前,终端用户需要更改默认证书。”
绿波系统公司(Greenwave Systems)的首席安全工程师马克•鲍格尔(Mark Baugher)并不相信政府监管能解决这个问题。但他同意市场失灵的原因。
他在最近提交给CSO的一篇文章中写道:“廉价、设计糟糕的网络产品的成本通常由这些产品的用户以外的人承担。”
“经济学家称之为”消极的外部性“,这意味着成本在市场外部。因此,市场基础解决方案不起作用。“
这不是一个新问题——Schneier, Fu和其他人多年来一直在说物联网是不安全的,因为设备的开发者和购买者都更关心功能和价格,而不是安全。
[也在CSO上:数据泄露通过可穿戴设备在2017年在IOT上放置目标]
但施奈尔告诉委员会,DDOS攻击DYN的攻击表明,赌注现在远高于银行账户受到损害或身份被盗的股权。
“我们正在把汽车、无人机、医疗设备和家庭恒温器连接起来,”他说。“曾经是良性的现在是危险的。”
当然,政府参与的形式应该采取的不太明确。德鲁比施奈尔或傅义政府的角色,说:“只有这一说法,”政府可能会提供适当的指导。“
但是,政府可能会有一般一致的协议,应该要求被描述为“基本安全卫生”,而这不会使设备防弹,这将使利用它们更加困难。
埃森哲安全董事董事总经理Matt Devost是一位告诉CSO的专家之一,政府可以通过强迫市场来解决IoT设备最明显的公然不安全感来发挥至关重要的作用。
“建立一个最低的基本安全要求在新设备,迫使用户建立一个健壮的密码可以使用设备之前会在默认的密码是一种进步,”他说,“随着自动化固件更新过程的能力在一个关键漏洞被发现的产品。”
傅在国会委员会作证时,建议建立一个独立的国家网络安全测试设施,效仿美国国家运输安全委员会的做法。
施奈思还建议政府部队“最低安全标准”在IOT制造商上,包括对那些未能遵守的人的责任,“如果他们的设备用于DDOS攻击,那就像Dyn这样的公司起诉它们。”
在线信任联盟(OTA)执行董事Craig Spiezle表示,政府应该要求“产品不带有任何已知的关键漏洞,并承诺在其生命周期内提供安全补丁和更新。”
不过,其他监管举措可能会变得更加复杂。
SEN.Mark Warner(D-VA),在10月25日给联邦通信委员会(FCC),联邦贸易委员会(FTC)和国土安全部(DHS)的信中,询问Internet服务提供商(ISP)可以帮助强制改进IOT设备的安全性通过拒绝不安全的设备访问互联网,包括拒绝为它们分配IP地址。
FCC主席汤姆·惠勒(Tom Wheeler)在12月5日的回应中指出,全球现实意味着这一点单个ISP的行为不会有太大变化.他写道:“一家网络服务提供商针对网络威胁所采取的保护行动,可能会因为其他网络服务提供商未能采取类似行动而遭到破坏。”“这削弱了所有互联网服务提供商采取此类保护的动力。”
专家们也非常谨慎地致力于政府参与调节任何互联网安全要素,因为其对设备和网络的愿望显示“后门”。
尽管Schneier呼吁联邦监管来改善物联网安全,但他表示,“政府需要抵制应FBI要求故意削弱任何计算设备安全的冲动。”
宣布“政府是网络安全所需要的同时,”美国政府无法提供“的同时,部分是因为它已经反复证明它无法确保自己的基础设施。他引用了多个例子 - 前国务卿和最近的民主党总统候选人希拉里克林顿是使用私人和不安全的电子邮件服务器的内阁级官员最着名的典范。
但更重要的是,他说,是美国政府的政策,“已经削弱了设备安全,更好地使信息收集。当政府们没有掌权机制,以提高IOT或其他申请的网络安全,同时试图破坏设备及其用户的安全性。“
就目前而言,具有法律效力和处罚的具体规定似乎还需要一段时间。并不是说没有活动。联邦贸易委员会最近宣布“物联网家居督察挑战赛”一场比赛,“挑战公众创建技术解决方案('工具'),消费者可以用来用在他们家中的东西(物联网)设备上的软件中防范安全漏洞。”获胜者将获得25,000美元的奖金,奖金为3,000美元。
还有许多政府文件,可致力于互联网安全 - 刚才发布的DHS《保障物联网安全的战略原则》但指出,他们是“非约束性原则,建议的最佳实践”,这意味着没有法律的力量,没有任何关系,不能跟随他们。
Sjouwerman称这份文件是“一个好的开始,但是没有牙齿。”
并指出还有其他政府“最佳实践”建议,表示,DHS纸对他表示,“一些联邦机构之间似乎有竞争。此时的提案似乎更加政治了。“
而Spiezle说,“政府监管的威胁以及执法很重要,我们今天需要行动。”
他说,这可以来自私营部门。他表示,在线零售商已向Costco、亚马逊(Amazon)、百思买(Best Buy)和塔吉特(Target)等主要零售商发出公开呼吁,“停止销售未能遵守核心基金会安全和隐私原则的产品。”
他表示:“我们正在与保险公司沟通,要求它们在产品责任方面考虑同样的问题。”“零售商不销售可能伤害儿童或由童工制造的产品,为什么要销售已知漏洞的产品并从中获利呢?”
他说,OTA将很快发布它所谓的2.0版,“IoT信任框架”,他说的是为了提供,“开发人员为审计他们销售的产品和企业的产品而提供”开发人员“的工具用于评估他们购买的产品。“
傅说,如果有什么好消息的话,那就是对物联网安全的认真关注可以带来显著的好处。他对国会委员会表示:“对于已经部署的物联网设备来说,值得高兴的是,数以百万计的不安全物联网设备只是2020年物联网市场的一小部分。”
这篇题为“政府真的能解决物联网问题吗?”的文章最初发表于CSO .