我们在物联网中安全吗?
2016-11-29商嫣然
译 / 商嫣然
我们在物联网中安全吗?
译 / 商嫣然
假设一个罪犯在利用你的网络摄像头来监视你的房子,或者你的冰箱为某些你甚至不知道的人发送垃圾电子邮件,再想象一下有人侵入你的烤面包机,进而接触到你的整个网络……随着智能产品在物联网中的广泛使用,通过这种新的连接遭受攻击的风险也在不断增加。ISO标准有助于使这一新兴产业更加安全。
作为消费者和科技产品的用户,我们往往被物联网惊人的功能吸引,以至于不花一分钟的时间去想想这对于我们的隐私和安全来说意味着什么。当然,一个婴儿监视器可以让家长安心,因为通过智能手机就可以随时随地轻松地监测他们的孩子。但当这种技术不受保护的时候,我们可能会在不经意间暴露自己和我们所爱的人。
事实上,对任意的陌生人进行窥探从未变得如此容易。它需要的只是一个搜索引擎,比如撒旦——谷歌物联网(IoT)——它也曾强调这种技术的风险,潜入网络从未受保护的设备中获取图片。对于家中的物品、我们的宠物,甚至我们的冰箱,只是一个点击即可。直到婴儿监视器被黑客攻击并侵犯到他们熟睡的孩子时,一些父母才意识到他们所依赖的这种方式是多么脆弱。这并不奇怪,在过去的3年中,物联网技术的投诉数量仅在英国就上升了2 000 %。
美好的新世界
物联网是指数十亿个连接的智能设备频繁地交换大量数据,关乎我们的生活、工作和休闲。ISO/IEC信息安全管理体系工作组召集人Edward Humphreys教授说,“它们旨在让我们的生活更轻松、更健康、更智能,让我们的企业更有效率,但这往往是有代价的。因为它们为我们所做的一切令我们想去信任这些技术,但我们必须意识到数据安全和保护隐私方面的后果。”
例如,在你开心地购买到最新的语音控制智能电视时,你可能不会考虑这项技术为了能够识别正确的命令,它需要 “听”到你说的一切。如果这仅仅是你和你的电视之间的事情,那么并不会构成伤害。然而,通常情况下,使设备能够交换信息的通信信道并没有被加密或以其他方式保护,使其不受外部访问。“这几乎就如同把你的门敞开,任何人都可以在任何时候走进来。” Humphreys说。
问题的关键在于,大多数人期望公司和立法者在董事会上提出这些风险,并为此做一些事情。但如果客户不理解或对数据隐私并不感冒,制造商也不会在意。因为他们知道这些将不会影响我们的购买决策,我们更可能会因为兼容性、价格甚至外观来决定是否购买一个摄像头。国际消费者组织的研究表明,人们在点击同意框之前平均花费6秒钟的时间来看条款和条件,所以公司为什么要去操心这个问题呢?
国际和欧洲消费者隐私问题的专家Pete Eisenegger说,“就立法而言,我们在自己家里做什么,其保护程度很少能够同组织数据达到等同。使用可穿戴式和便携式技术,它跟踪和监控我们的运动和活动,并知道我们精确的位置。如果把这些与我们提供的所有的个人信息、照片、联系等这些我们经常在不知不觉中授予的权限结合起来,便非常令人担心。大数据分析很容易从人们的行为和偏好中了解一个人。”
在一个超链接的世界里,人们所面临的风险是很高的。最近一个实验表明,我们可以通过娱乐系统破解一辆移动的汽车,并禁用其加速器。“电子心脏起搏器可以救命,只要他们没有被篡改。现在正在出现的和正在融入我们生活的数字技术的范围是势不可挡的。” Humphreys说。
“我们看到关于互联网技术的一个新世界的秩序正在出现。这不仅仅是关于产品,而是整个系统。”对一个设备安全的失职会影响到许多人。2013年,黑客通过互联网访问美国一家大型零售商,窃取了数以百万计的信用卡号码。脆弱的设备可以被利用从而攻击其他设备。我们需要像反思疫苗一样来反思物联网的安全性。如果你没有得到保护,你就有可能把危险传递给别人。我们对于设备的保护或“防疫”措施越完善,我们受益也会越多。
“这就是为什么我要强调使用信息安全和隐私标准的重要性,” Humphreys解释说,“我们有一些解决方案来解决这些问题,并尽量减少风险,还有更多的方案在研究中,但组织需要它们。”
ISO/IEC 27001和ISO/IEC 27002这些标准提供了一个共同的语言来解决信息安全的治理、风险和合规性问题。ISO/IEC 27031和ISO/IEC 27035帮助组织机构对网络攻击做出有效的回应、缓解和恢复。也有一些ISO/IEC标准定义的加密和签名机制,可以集成到产品和应用程序来保护网上交易、信用卡的使用和存储的数据。
Humphreys认为,下一个值得关注的是隐私标准。“我们正在努力建立一个坚实的标准基础,从而在一个数字连接的世界里保护我们的数据,并加强消费者的信心。我们希望这些可以被用来开发解决方案,以应对物联网的具体挑战。”
消费者是否在意?
问题被这一事实复杂化了:许多人或勉强,或心甘情愿地,以我们的隐私和安全去交换被认为是更有价值的最先进的技术。这些设备已经成为日常生活的必需。以我们的数据来支付这些现代化的便利,这样的代价是否太高昂了?
让我们看看其他互联网行为。人们经常上传自己的图片或发布孩子的视频,他们分享自己的政治观点、旅行目的地、最喜欢的购物中心。问题并不在于我们是否应该暴露这么多的我们的个人隐私,如果我们愿意这样选择也无可厚非,而在于我们是否了解我们所做这些事情的影响,以及我们是否可以控制别人从我们这里收集数据。
由于互联网使人们更容易跟踪和识别人,这些信息一旦落入别有用心的人手中,就可以把我们置于风险之中。人们的网络安全意识在日益增加。美国国家消费者联盟的研究发现,76%的美国青少年关心自己的隐私是否会受到日常网上活动的威胁,但人们很少将这些与物联网联系起来。
ISO消费者政策委员会(ISO/COPOLCO)正在将这些问题纳入标准化议程。因为消费者不理解低安全性的后果并不意味着他们不应该受到保护。ISO消费者政策委员会代表Bill Dee说,“消费者对安全问题的认知、态度、价值观及保护隐私的需要是重要的,也是我们亟待解决的问题。在消费者政策委员会,我们已经完成了对消费者战略性隐私标准差距的报告,现在正优先解决消费者购买使用产品和服务中的‘隐私权设计’问题。”
隐私权设计
Eisenegger认为,问题的核心在于,从一开始,许多消费者日常生活中所使用的设备进入市场时就没有或很少考虑到隐私和数据保护的问题。“尽管在收集与看管我们个人隐私方面有许多国际标准可供组织机构借鉴,但是为了物联网更加安全,我们需要从良好的实时隐私控制开始建立新的安全技术。改变我们的方法不仅会使默认状态更为安全,也将使安全功能更易使用和方便更新。”
企业无法保护设备的一部分原因是,开发物联网技术的设计者很少是安全和隐私专家。“工程师应当重视在设计过程中关注这些特征,才能出现更少漏洞。然而目前的工作,太多被定义为‘补充说明’,”Eisenegger说。为了能改变这一点,ISO消费者政策委员会提议制定一项商品和服务隐私方面的数字设计标准。
Eisenegger 补充说,“如果我们能受ISO 9001持续改进周期的启发来开发一个隐私设计程序,正如ISO 10377在产品的安全性方面已经做到的那样,这将是一个巨大的进步。这样的标准将致力于使跟踪和保护数据更容易,确保大数据分析和评估产品隐私的保密性。”
Eisenegger说,“比起担心消费者是否能够接受当前技术、产品和服务提供的默认安全和隐私选项,我们更应该想一想开发商应当做些什么来建立起消费者的信心与信任。这是国际安全和隐私标准的新前沿。它被‘接种’到产品或服务中,可以充分保护我们的信息且提供实时操控。它可以最大限度地减少设备收集的数据量。它可以让我们了解任何第三方处理,并加强可追溯性和问责性。”
如果这是成功的,那么类似的方法可以解决交叉切割的数字问题,如可访问性、脆弱性以及隐私问题,同时考虑到可购买性、公平性和非歧视原则。
因此,虽然目前有一个广泛的网络安全标准,但在物联网方面ISO仍然有许多工作要做。“一旦信息被收集,ISO/IEC 27001系列标准能很好地帮助组织保持信息安全。但我们需要开发专门针对物联网风险提出的解决方案,”Eisenegger说。标准是把这些问题带到国际议程中的一种有力的方式。
我们需要马上采取行动。我们的家庭、活动和个人信息已经不可逆转地与其他数十亿人通过日常设备交织在一起。物联网把我们是谁、我们在做什么透明化,从而将隐私和安全的影响提升到了一个全新的水平。为了使我们的生活远离窥探的眼睛,我们需要关上门并将其锁上。
(原文标题:Are we safe in the Internet of Things?,
作者: Maria Lazarte,译自ISO官网)