要求物联网设备经过安全认证毫无意义。法规是笨重的工具,最好留到最后。网络安全法规缺乏灵活性,往往在颁布之日就已经过时,成为行业遵循的最低标准。这扼杀了安全创新和最佳实践的应用。从好的方面来说,法规确实迫使忽视基本安全实践的行业采用通用标准。但历史表明,这些行业很少会超出监管要求。在我们每周在新闻中看到的所有数据泄露事件中,几乎所有这些组织都符合监管要求,但他们正在丢失数十亿条数据记录。合规不等于安全!然而,一些人正在游说政府,提倡物联网认证法规。我发现他们的想法是短视和不成熟的。在某些情况下,法规是绝对必要的,但仅限于特定应用以实现特定目标。保护在线儿童的隐私、保护敏感的医疗记录或要求控制信用卡交易都是法规范围的一部分。我是一个热情的安全倡导者,有些人甚至会说狂热,但我不喜欢要求物联网设备进行安全认证的想法。它过于宽泛,破坏了推动快速创新的经济模式。我们不需要对手机、平板电脑、个人电脑或服务器进行此类认证。那么,为什么会有人认为要求对低功耗物联网设备进行认证是一个好策略呢?认证增加了产品开发的时间和成本。物联网设备用途极为广泛,而且通常比功能齐全的计算系统便宜。此外,认证规模也是一个问题,因为物联网设备的数量很快就会超过500亿。确定谁将对全新类别的设备进行认证以及哪些标准将被接受的过程是一场噩梦。在如此大规模的情况下,执行这些要求将是昂贵的,而且是一场噩梦。官僚主义和成本会给市场增加巨大的摩擦,使许多公司和产品望而却步。毫无疑问,物联网需要更高的安全性,但建议过于宽泛的监管还为时过早,而且可能会损害智能设备的每个受益者。还有许多其他选项和解决方案可以以更低的成本提供更好的保护,而不会灾难性地阻碍创新、竞争力和健康的市场周期。为设计和认证建立标准、良好实践是一个良好的开端。推动消费者接受和欣赏安全设计可以为制造商创造竞争优势,以便相互竞争。此外,漏洞赏金、公共安全研究和渗透测试认证的公开共享将推动物联网行业更好的流程。如果这些做法没有被采纳或没有被充分采纳,那么我们应该讨论监管问题。但首先,我们必须找到更好的方式与物联网行业建立安全合作伙伴关系,使生态系统能够更好地适应不断变化的威胁、支持创新并获得所有人的信任。让我们不要急于采用严格的监管模式,因为它们只能被视为最后的手段。
