私营部门经常将政府视为问题,而非解决方案。但是,越来越多的专家认为,在解决物联网(IoT)猖獗且日益增加的安全风险方面,情况恰恰相反。
虽然这不是一个一致的观点,但人们普遍认为物联网给现代生活带来的福祉正在被它的诅咒所破坏,而市场将不会纠正这些诅咒。
它几乎不可思议的好处是有据可考和广为宣传的——自动驾驶汽车,以及在数百英里之外锁上或打开门或调节家用恒温器的能力,仅仅在几年前还只是幻想。但是它的数十亿的联网设备是如此缺乏安全,以至于它们不仅将个人用户置于危险之中,而且也将公共和私人基础设施置于危险之中,包括互联网本身的基础设施。
十月的分布式拒绝服务(DDoS)攻击Internet域名服务(DNS)提供商Dyn是最有名的例证。
它只造成不便时,它关闭了一些流行的网站在一天的一部分。但它在僵尸网络中使用了可能数以百万计的设备,如网络摄像头和数字视频录像机来发起攻击,这表明物联网可以提供僵尸设备大军,如果目标是医院或国家关键基础设施等目标,这些设备可能会损害生命和安全。
虽然个人用户可能不知道他们的设备被“征召”来进行攻击。
因此,由于开发者/制造商或个人用户都不受影响,这些都是市场风险——竞争和消费者压力——并没有得到纠正。11月中旬,在众议院能源和商务委员会(House Committee on Energy And Commerce)作证的专家们表示,这意味着政府必须更积极地进行干预:最近被IBM收购的Resilient Systems首席技术官布鲁斯•施奈尔(Bruce Schneier);Virta Labs首席执行官、密歇根大学(University of Michigan)教授付凯文博士;还有互联网骨干提供商Level3 Communications的首席技术官戴尔•德鲁(Dale Drew)。
Schneier说:“这是一个根本的市场失灵在起作用。。“基本上,市场优先考虑的是功能和成本,而不是安全性。”
他说,缺乏安全保障是“一种无形的污染”。就像污染一样,唯一的解决办法就是监管。”
关于这一宣言有各种不同的看法。KnowBe4的首席执行官Stu Sjouwerman说Schneier是“绝对正确的——FCC应该是测试这些设备最低要求的安全标准的机构,比如终端用户在设备投入生产之前需要更改的默认证书。”
绿波系统公司的首席安全工程师Mark Baugher不相信政府的监管能解决问题。但他同意市场失灵的原因。
“廉价、设计糟糕的网络产品的成本,通常由这些产品的用户以外的人承担,”他在最近提交给CSO的一篇文章中写道。
“经济学家称这是一个‘负外部性’,这意味着成本的外部市场。因此,以市场为基础的解决方案不工作“。
这并不是一个新问题——Schneier, Fu和其他人多年来一直说物联网是不安全的,因为设备的开发者和购买者都更关心功能和价格,而不是安全性。
〔也可CSO:数据泄露通过身打扮把目标正视物联网在2017年]
但施奈尔告诉委员会说,DDoS攻击上的Dyn显示攻击的利害关系现在比有损害银行账户或被盗的身份要高得多。
“我们正在连接汽车、无人机、医疗设备和家用恒温器,”他说。“曾经的良性现在是危险的。”
当然,什么形式的政府干预应该是不太清楚。德鲁比施奈尔或富对政府的作用力度较小,只说,“可能有作用,为政府提供适当的指导。”
但普遍认为,政府可以而且应该要求什么被描述为“基本安全卫生,”和而不会使设备防弹,这将使它更难以利用它们。
马特Devost,埃森哲安全的总经理,是几位专家谁告诉CSO,政府可以通过强制市场,解决物联网设备的最明显的,公然的不安全感起到至关重要的作用之一。
“建立一个最低的基本安全要求在新设备,迫使用户建立一个健壮的密码可以使用设备之前会在默认的密码是一种进步,”他说,“随着自动化固件更新过程的能力在一个关键漏洞被发现的产品。”
福,在国会委员会面前作证,建议沿着国家运输安全委员会的线条为蓝本的独立,国家网络安全测试机构。
施奈尔还建议,在物联网厂商,包括对那些未能遵守实行责任政府的力量“最低安全标准”,“喜欢的Dyn允许公司起诉他们,如果他们的设备在DDoS攻击中使用。”
在线信任联盟(OTA)的执行董事Craig Spiezle说,政府应该要求,“产品没有任何已知的关键漏洞,并承诺提供安全补丁和更新,在他们的生活。”
不过,其他监管举措可能会变得更加复杂。
参议员马克·沃纳(d-VA),在10月25日写信给美国联邦通信委员会(FCC),美国联邦贸易委员会(FTC)和美国国土安全部(DHS),问互联网服务提供商(ISP)可以帮助改善部队在物联网设备的安全拒绝不安全的设备访问internet,包括拒绝为其分配IP地址。
FCC主席汤姆·惠勒(Tom Wheeler)在12月5日的回应中指出,全球现实意味着这一点单个ISP的行为不会有太大的改变。他写道:“一家互联网服务提供商针对网络威胁采取的保护行动,可能会因为其他互联网服务提供商未能采取类似行动而遭到破坏。”“这削弱了所有互联网服务提供商采取此类保护措施的动机。”
专家们还调节,因为它证明了“后门”进入的设备和网络的愿望互联网安全的任何元素非常警惕政府的参与。
施奈尔在呼吁联邦监管提高物联网安全性的同时表示,“政府需要抵制应联邦调查局(FBI)要求故意削弱任何计算设备安全性的冲动。”
Baugher,而宣称“政府需要对网络安全”,也有一部分是声明,就像强调,“美国政府不能提供它,”因为它已经反复证明,它不能保证它自己的基础设施。他举了多个例子 - 状态和最近的民主党总统候选人希拉里·克林顿的前秘书是最有名的例子 - 使用私有的,不安全的内阁级官员,电子邮件服务器。
但更显著,他说,是美国政府的政策,“是和已经削弱设备的安全性,以更好地实现信息的采集。政府是没有能力倡导机制,提高物联网等应用的网络安全时,它同时试图破坏设备及其用户的安全。”
目前,具有法律效力和处罚的具体规定似乎还需要一段时间。并不是说没有活动。联邦贸易委员会最近宣布物联网家居检查员挑战,"比赛的是,“挑战市民创造一个技术解决方案(‘工具’),消费者可以用它来防范安全漏洞的软件物联网(IOT)在自己家中的设备上找到。”获胜者将获得$ 25,000奖金,以$ 3000名,奖品为亚军。
也有一些政府文件的该地址的网络安全 - DHS只是最近发表《保护物联网安全的战略原则》但指出,他们是“不具约束力的原则和建议最佳实践”,这意味着没有法律效力,并没有影响未能跟随他们。
Sjouwerman称这份文件是“一个良好的开端,但是没有牙齿。”
Baugher指出,还有其他的政府“最佳实践”建议说,国土安全部文件建议对他说:“似乎有一些联邦机构之间的竞争。在这一点上的建议似乎比技术更多的政治。”
而Spiezle说,虽然“政府调控,以及威胁的执法是很重要的,我们今天所需要的行动。”
他说,这可以来自私营部门。他表示,OTA已经向包括Costco、Amazon、Best Buy和Target在内的主要零售商发出公开呼吁,“停止销售不符合core foundation安全和隐私原则的产品。”
他表示:“我们正与保险公司沟通,考虑在产品责任方面采取同样的做法。”“零售商不销售可能伤害儿童或童工制造的产品,为什么要销售存在已知漏洞的产品并从中获利?”
该OTA,他说,将很快公布其所谓的“物联网信任框架,”他说,旨在提供“一个工具,开发人员开发针对零售商审核他们所销售的产品和企业2.0版本用来评估他们所购买的产品。”
傅说,好消息是,如果有的话,对物联网安全的认真关注可以产生显著的好处。他对国会委员会表示:“对于已经部署的物联网设备来说,值得高兴的是,数以百万计不安全的物联网设备只是2020年物联网市场的一小部分。”
这个故事,“政府真的能解决物联网的混乱吗?CSO 。