美国多位享有盛名的计算机安全专家最近对国会提出警告:低安全性的物联网设备的增多将导致人身和财产风险,政府必须对此采取行动。
十月份爆发了一次大规模的DDoS攻击,互联网设备提供商Dyn和美国东部大量的用户的网络瘫痪。哈佛大学的著名安全学者、公共政策学讲师布鲁斯·施奈尔在众议院能源和商务委员会的听证会上宣称这次攻击“相对温和”,理由是没有人伤亡,但是,他警告说,借助网络摄像头、摄像机、婴儿监视器等设备形成僵尸网络而发动的这次攻击,为我们揭示了物联网设备背后的“灾难性风险”。
更有甚者,应用于医院或电台和通风系统管理的电脑同样是低安全设备。这简直令人毛骨悚然,政府必须介入来解决这个“市场失灵”。
制造商没有什么动力来优先考量物联网产品的安全性,这致使问题持续恶化。纵使消费者想知道哪个牌子的恒温器更安全,他们也找不到任何指标和评级以供参考。
Dyn等关键系统在网络攻击面前脆弱不堪,因此政府无疑应当有所作为。然而,华盛顿仍在激烈讨论具体措施和细节,只有在总统唐纳德·特朗普上台后才有望定下方案。美国商会和消费者技术协会等商业组织则认为,物联网设备上的新规定可能会阻碍创新。
施奈尔认为,需要成立一个新的机构来负责制定和推行网络安全制度。这可能不太现实,特朗普已经公开承诺放开制度限制,而共和党也一向反对扩大政府权力。施奈尔警告议员们,一旦发生灾难性事件,惊惶的民众将向政府问责。
风险究竟有多高?密歇根计算机科学和工程教授傅佳伟用两个词形容:“惊人”、“渐增”。他指出:风险不仅仅在于物联网设备被用于医院等可能招致严重后果的敏感区域,更重要的是,数以百万计的设备可以被黑客构建成硕大的僵尸网络,在僵尸电脑大军面前所有被盯上的机构都难以抵抗。
傅佳伟也在众议院听证会上发布过这一论断,他坚信若没有“网络卫生环境的重大改变”,我们就不能依靠网络来建立关键系统。他建议政府促成一个独立组织来监测物联网设备的安全性。物联网设备应当进行一系列测试,包括:售前测试(参考美国国家公路交通安全管理局在汽车上市前的碰撞测试)、灾后测试(美国国家运输安全委员会在车祸后所做的)以及“生存能力和抗毁测试”。
我们尚不知晓特朗普政府及下任国会是否会优先考虑物联网风险问题,而在此期间政府是否可以先采取些行动?上个月,美国国国土安全部发布了“物联网保护的战略准则”。同一天,负责制定并出版多项技术领域的行业标准的国家标准与技术研究所发行了构建“防御和生存能力更强”的网络连接系统的倡议书。
同时,无论是汽车设备、无人机配件、医疗装置还是品类繁多的其他配件或系统,但凡接入网络,就面临着上述风险。因此,对物联网设备的集中监管机构必须成立,正如施奈尔所言:“我们不能因为电子设备装有轮子或螺旋桨、用于通话或植入人体,就区别对待。”
作者:Alfred.N
来源:51CTO