【導讀】物聯網有望改善生活的方方面面。它的主要功能在于能夠讓眾多“物件”相互連接,因而獲得洞察力,并形成協同效應。盡管這種相互連接的特性同時會帶來安全和隱私方面的問題,但現在市場上關于物聯網安全和隱私卻充斥著五大“謊言”。
第一大謊言:安全加強了意味著隱私減少了
從技術上來說,安全和隱私具有共性。比如,兩者都依賴加密,系統的設計方法將有助于保護安全和隱私;兩者都存在同樣種類的故障,設計軟件或系統工程師要是不了解對手的所思所想,就有可能忽視容易被人鉆空子的設計環節。
同樣,由于物聯網的每個部件將是系統的一部分,部件的原設計者可能沒有考慮到其部件與其他部件和系統交互時,可能會在安全和隱私方面帶來的影響。比如,研究人員以及聯邦食品和藥物管理署(FDA)已查明,許多個人醫療設備(PMD)存在加密缺陷,會危及設備以及設備記錄并傳輸的數據的安全,但不會危及設備使用者的隱私。
正如我們從傳統的IT問題中知道,我們可以獲得100%安全的系統,但這種系統毫無功能可言。所以,必須找到一種經濟高效又切合實際的折中方案。
第二大謊言:現有的IT安全和隱私概念及做法足以應對物聯網挑戰
從理論的角度來看,我們知道如何確保系統安全和隱私。但我們不知道如何有效地做到這一點。優先事項總是很重要。我們想花10億美元來確保本地書店的網站安全嗎?不想。那想花這么多錢來確保核彈頭安全嗎?這聽起來是明智的投入,決策者們會決定這么干。如果我們需要更高的安全性,費用就會相當高昂。企業面臨現實的取舍:我想購買安全功能,還是購買創收功能?這不是非此即彼,而是折中考慮。
回到效率這個問題,不計其數的設備和系統會與物聯網連接起來,我們就要在安全和隱私做法方面極大地提高效率。
“互聯網之父”兼谷歌首席互聯網宣傳官VintCerf在布魯塞爾會議上發言,他回顧了自己及同事當初為什么為互聯網選擇32位的互聯網協議(IP)地址。他們在粗略計算后發現,最終可能需要20億個到40億個IP地址,32位地址似乎綽綽有余。在未來幾十年,我們預計每個人可能擁有數百個或數千個相關聯的IP地址物件。所以,大大增加的復雜性自然需要大大提高效率。如果我們擁有的物件增加到數萬億個,即便每個物件只要1美分,總的開支也會太高。
第三個謊言:如今的網絡安全能解決物聯網的大多數問題
需要探究的一個方面是,我們缺少有效的網絡領域模型來研究人類和用戶行為。什么促使我們做出了明智或糟糕的安全和隱私決策?這很關鍵,因為人類參與物聯網的每個環節,包括設計、實施、運營、部署、維護、使用和停用。
由于互聯網和物聯網對人類來說如此不可或缺,我們如何為用戶行為做模型?工程師在設計這些系統時,我們又如何為工程師的思維過程做模型?如何為人類設計的將在物聯網環境下運作的機構做模型?
這里的挑戰在于,人類行為不像數學那樣有一種封閉形式。比如,就如何描述問題、如何提供解決辦法而言,加密就有一種很好的封閉形式。科學有很好的辦法來處理沒有封閉形式的系統(比如人類行為)。生物學家對細胞行為做模型,而在更廣泛的日常生活領域(比如與物聯網交互),我們才剛起步。
第四大謊言:適用于IT的軟件安全同樣會適用于物聯網
物聯網面臨的挑戰之一(僅舉一個例子)是,一些傳統的桌面安全策略恐怕不會很管用。給物聯網中的軟件打補丁意味著什么?在工業控制系統領域,數十年來設備并不是每個月都獲得軟件補丁。所以,對桌面計算和傳統IT基礎設施來說高效的做法對物聯網可能毫無成效。
我認為物聯網面臨的最大挑戰可能在于規模上。我們要面對的IT基礎設施是個高度聯網的基礎設施,連接著無數的實體、設備和系統。我們之前對此從未有過透徹的了解。
假設互聯網上有1000人,我們面臨一種情況。要是有100萬人,又是另一種情況。要是有10億人或更多人呢?我們將邁入之前從未遇到過的世界,之前也沒有為這個世界設計過系統。互聯網和計算技術其實是我們在幾十年來繼續看到急劇變化的惟一領域。還有其他什么領域的效率或功能比十年前提高了10倍?物聯網似乎就是這樣一個領域。
第五大謊言:物聯網的網絡安全是私營部門獨自能應對的挑戰
私營部門將不得不就安全和隱私做出自己的決定。不過我預計,要是缺乏公共政策的指引,私營公司可能缺乏關注這種公共利益的動機。
但我不贊同靠法令來確保安全。我們需要一種更靈活的模式,以便安全地共享信息,用于科學的安全事件分析,而且便于參照經過驗證的指導原則。關鍵在于交流什么方法管用、什么不管用,那樣研究人員、企業和物聯網用戶就能做出明智的決定。
決策者們需要非常了解相關問題,并愿意撥出一定數量的共同資源來應對這個挑戰。可事實證明,在這種環境下,自上而下的未經驗證的法規毫無成效。決策者們需要積極消除公眾在互聯網及物聯網安全和隱私方面的顧慮。
確信100年前,眾多父母想當然地認為,小時候生重病司空見慣,對此基本上無能為力。孩子們常常死于小兒麻痹癥和天花。而現在,我們戰勝了那些疾病。所以猜想,物聯網安全和隱私方面也會如此,但這需要時間和集中精力。
