这种应对物联网安全挑战的方法能否奏效?以及消费者意识如何提供帮助。根据BBC的一篇文章,英国数字部长MargotJames提议立法引入新的产品标签系统,以向消费者展示物联网产品的安全性。要获得必要的标签,物联网设备需要:默认情况下只有密码明确说明将提供多长时间的安全更新提供漏洞披露的公共联系信息在连接的设备上使用弱密码。拟议的英国法规和实际的加州立法都是朝着正确方向迈出的一步,或者至少让供应商在开发物联网产品的设计阶段考虑安全性。但是,立法能解决问题吗?让我们暂停一下,思考一下物联网设备的实际含义。加州立法提供了以下定义:联网设备“是指能够直接或间接连接到互联网并分配有互联网协议或蓝牙地址的任何设备或其他物理对象。”这涵盖了各种各样的设备、汽车、灯泡、笔记本电脑、恒温器到手机等等,这个清单是无止境的。我桌上有一个蓝牙音箱,据我所知,它没有密码,不收集数据,也不传输任何信息。加州立法是否涵盖此设备?它需要唯一的密码吗?同样,在英国购买特斯拉的消费者是否应该期望在汽车上看到一个标签,说明它符合基本的物联网安全法规?特斯拉内部每一个可以独立通信的设备都需要一个安全标签?如此不安全对安全的需求是毋庸置疑的,一些物联网设备制造商(可能很多)未能采取有效措施来保护他们的设备,正是这种失败促使政客们采取行动。在英国,这是一项自愿行为准则,现在已成为立法的一部分。但总的来说,立法会扼杀创新。科技行业已经远离密码,微软信息安全官BretArsenault宣布,90%的微软员工无需密码即可登录公司网络,因为公司设想了一个“无密码世界”。.它的员工正在使用其他选项,包括WindowsHello和身份验证器应用程序,这些应用程序提供面部识别、指纹和双因素身份验证的替代方案。直到明年才生效或仍在提议中的立法可能在完全生效之前就已过时。它将迫使设备制造商使用业界试图淘汰的技术,以支持更安全的选择。英国国家网络安全中心(NCSC)近日对潜在泄露数据进行分析发现,全球有2320万用户账户使用“123456”进行安全保护,770万用户使用“123456789”作为密码。这些数据表明消费者没有参与保护他们的在线账户。我最近在美国和阿根廷的网络安全活动中提出,将任何设备连接到网络时都需要考虑安全性,尤其是在智能建筑中。我向听众提出了这个问题:“你们最后一次更新车内的信息娱乐系统是什么时候?”-两个地方的结果相同。观众看起来很困惑,他们是网络安全专家,但他们通过蓝牙将个人手机连接到一个他们永远不会更新的系统。有趣的是,第二天一位与会者联系我说他和经销商都不能更新他的信息娱乐系统,即使它已经过时了。快进几年,你会看到全新的物联网设备,其产品标签上写着有密码,并且在五年内更新。为简单起见,您将密码设置为与您家中设备上的所有其他密码相同,您可以插入设备并享受它启用的任何功能的便利。当制造商向您发送有关固件更新的电子邮件通知时,假设您已经注册了该设备,您会在它工作时删除它并抱怨为什么您要更新一个运行良好的设备。虽然立法推动行业提高设备的安全性,但消费者教育和参与可能会使它们在家中更安全。我想知道你是否也可以为此立法?
