为何政府必须在物联网安全框架制定上发挥主导作用
来源:中国电子政务网 更新时间:2019-03-19

当我们考虑我们的身体健康时,它是具有承前启后和自适应特性的。这与我们思考物联网安全的方式形成了鲜明对比。尽管我们的身体健康面临物联网网络漏洞的威胁,并且威胁日益增加,但我们倾向于忽视物联网的安全问题,或者仅仅将其过度简化。因此我在这里写了更多关于物联网的网络动力威胁的文章。

在冬季穿着夹克可以让我们远离寒冷,但这并不意味着我们全年都会穿夹克。而且这也并不意味着我们认为穿夹克是保护我们自身的唯一方式。 我们知道,虽然穿夹克在冬季有助于防寒,但涂抹防晒霜在夏季是必要的,这能保护我们免受阳光直射的侵袭。同样我们知道,穿夹克不会保护我们免受恶劣的邻居的骚扰。另外我们也知道,穿夹克的行为既不能代替我们去健身房锻炼身体也不能代替我们进行良好的饮食,以防止我们患上心脏病。 同样,如果我们忘记锁门,穿夹克不能保护我们避免被盗窃的厄运。我们自身的安全有许多方面,但因为我们出于本能地保护自己免受这些威胁,并且一直坚持了几千年,所以我们才能了解传统人身安全的复杂性。

在进化的过程中,现在我们正处于一个时代的边缘,在这个时代,物联网技术的网络运动产生的漏洞会比恶劣天气或传统的暴力犯罪对我们的人身安全构成更大的威胁。

物理世界安全的相同复杂性之广,同样适用于保护物联网。 当然,防止制造商将用户凭证硬编码到设备中是确保物联网安全的一种方式,但这只能解决物联网安全的一个方面。 网络的威胁与其本身一样广泛。 物联网安全必须考虑到人身安全和网络安全。 而且,安全需求不会一成不变。 随着行业领导者提出更多的防御措施,狡猾的网络犯罪分子会利用他们的创造力攻克这些防御。

物联网安全工作也必须具有承前启后和自适应的特性,能够不断改变以支持迅速变化的安全威胁和商业用例,并且必须与传统的网络安全、生命健康与安全、工程以及其他行业相互合作。在经过几十年的努力之后,我们每天依然在网络安全的战斗中失利,那些有良心的公司如何能够继续进步,以解决新的且更复杂的物联网安全威胁问题?

首要的建议是采用物联网安全框架。 简而言之,物联网安全框架允许公司在妥善保护其设备或网络的前提下发挥其作用。但是这种框架并非是像创可贴一样的解决方案。 相反,它们可以作为企业需要关注的物联网层面的工具或清单。 此外,他们为物联网的保护提供工序以及最佳的实践。

现在的问题是:虽然一些行业领导者已经开发了物联网安全框架和标准,但这些框架都没有得到广泛应用。 因此,受创新驱动的公司认为IoT安全问题是一种令人讨厌的|、在事故发生后才需要考虑的问题。

显而易见的是,在物联网安全方面,需要政府更多的参与。至少让行业更广泛地接受物联网安全问题。如果在这方面做出正确决策,必然可以转化为行业的竞争优势,甚至帮助行业加速创新。

消费者和组织都希望(并且需要!)物联网(IoT)安全框架

根据Gemalto的调查,96%的组织和90%的受访消费者都希望政府实施物联网监管。 有几个原因:

从消费者的角度来看,他们的动机是显而易见的。 虽然消费者并不认为物联网安全问题(即打印机,相机,DVR)可以和他们的智能手机或笔记本电脑所面临的安全威胁相提并论,但他们仍然不喜欢黑客利用他们的网络摄像头发起分布式攻击,以此来关闭Spotify和Twitter等网站。 虽然消费者正在慢慢意识到物联网安全威胁,但他们不了解整个威胁的程度或知晓如何评估他们设备的安全性。

物联网组织的意向比起消费者而言,显得更有趣一些。 批评者认为,物联网安全不应受政府法规约束,因为法规会阻止创新。 而现实是,组织并不会因此而获得领先,但他们对他们行业的曝光感到担忧。

政府对物联网(IoT)的缺乏监管还体现在他们并不清楚每个物联网公司的责任所在。物联网 组织领导者想知道:我公司的职责是什么? 我的组织应该向消费者曝光什么? 我们的责任在哪里? 由于不清楚物联网的具体责任,那么我的组织会在市场上受到打击也许就不是我们自身的过失。

我们筛选过后的组织知道物联网安全是他们应该考虑的事情,但是他们的消费者现在还没有相关方面的要求。为了快速创新,他们已经将物联网安全问题放在了后面,不过他们意识到他们的责任将在未来逐渐变大。

但是,这些责任是法律所要求的吗?现在起来,如果物联网发生了可以直接影响消费者的巨大突破,维护物联网安全的责任将不会成为优先考虑的事项。当起搏器,自动驾驶汽车或交通信号灯遭受了严重破坏时,公众肯定会要求更多的监管并大声呼吁关注物联网安全问题。但我们为什么要等到最糟糕的事情发生?

政府必须率先采用物联网安全框架的另一个原因是帮助消费者对物联网设备所需的安全性有一个基本的了解。

例如,公众直到现在才知道网络暴力事件的广泛程度。如果你不知道如何保护自己,那么即使有大量、长期供应且市场化运作的资本行为都不足以防止网络攻击。换句话说,如果你的房子有一个带有视网膜扫描仪的沉重的前门,那么它对于通过一个隧道进入你所不知道的地下室的行为是没有防范作用的。

借助物联网安全框架,消费者并不确定他们应该从物联网设备中获得什么。如果连IT专业人士都有一条需要克服不少困难的学习曲线,您可以想象日常消费者需要付出多少努力来评估设备的安全性。如果各国政府率先制定了一个能够最终获得认可的框架,消费者可以寻找一种“认可的印章”,以确保一个设备可以消除安全问题。这将使公司有动力保护他们的设备免受安全问题困扰,因为消费者不想在没有这种批准的情况下购买设备。

我们应该做什么

综上所述,我们有许多工作要做。许多目前的物联网安全框架只关注物联网安全主题的一个子集。首先,应将几个框架结合在一起,例如以下几个示例:

·GSMA的物联网安全指南和评估

·物联网安全基金会物联网安全合规框架

·工业互联网联盟的工业互联网安全框架

其次,目前,这些框架为如何思考保护物联网提供了指导,而不是需要采取哪些具体步骤。例如,国土安全部2016年发布的“保护物联网战略原则”文件仅为17页文件。为了成为认证基础的框架,它必须提供更详细的要求。

第三,框架本来就是行业的基础,而不是行业未来所要发展的。框架制定者必须建立一个可以持续和快速改进框架的流程,以便与行业发展的速度相匹配。

一旦基础物联网安全框架覆盖了物联网安全的许多方面并受到监管机构的强制监管,我们就能让创新者在这一框架上建立新的东西。