近日,知名网络安全公司Dark3发布了物联网安全报告。报告显示,越来越多的物联网设备受到威胁。大多数零售的物联网设备都在收集、传输甚至分析用户的隐私。一些设备在不加密的情况下传输信息。使用这些物联网设备的用户的个人信息和数据极有可能在全球传播。报道还指出,部分受测设备仍有相对安全的程序和固件,价格也并不贵。然而,由于制造商和零售商对安全问题缺乏关注,消费者很难区分哪些设备的安全风险较低。在我国,IoT、AI+IoT等话题备受关注,物联网商业竞争的加剧吸引了更多企业加入,同时也出现了对物联网安全性的质疑。在网络行业峰会上提到的词。“安全”也成为物联网生态创建以来最容易被“主动忽视”的关键词。“主动忽视”是物联网快速成长的市场选择:一方面,碎片化的物联网行业还没有形成成熟的行业规则,导致一些企业束缚不严,为了赶上跟上快速增长的市场,获得战略优势,决策时“不得不”更多地向“利益”妥协,更少关注安全。另一方面,安全应该是一个基因,需要全行业的共同努力。单个企业的修复行为无法解决整个行业的系统性问题,包括制造业和零售业,任何一个环节的“单打独斗”都无法从根本上解决问题,总会有新的安全问题出现。该报告总结了物联网安全问题的原因:一些被审查的更安全的设备实际上将第三方通信保持在最低限度,并且仅遵循基本的安全原则。但部分设备部署在第三方云平台上,这些云平台的传输并未完全加密,从而绕过加密审计。例如,有些AndroidAppSDK没有对数据进行加密,这样别人就可以通过电脑知道用户房间内的插座、电灯或其他设备是否打开或关闭,甚至可以发出命令来控制用户的设备。没有其他方法可以防止这种操纵。Android程序充满漏洞。为了控制设备,用户需要下载安卓程序并连接设备。这些应用程序本身需要很多权限。仅仅将灯泡调暗可能会泄露用户的隐私。其他需要挖掘的海量数据是用户难以想象的。提供设备和服务而不考虑安全性的公司加剧了安全问题。一些公司的设备从硬件到应用都存在安全问题。此外,一些设备为了更好的用户体验,与第三方进行了交互关联,将设备、数据通信和应用绑定在一起,也扩大了隐私数据的传播范围。使用云基础设施不一定安全。一些第三方云平台公司声称自己的云平台部署在AWS或其他云平台上,所以云平台是安全的,这是完全站不住脚的。即使平台部署在AWS上,无法做到宣传的那样加密,安全漏洞也始终存在。任何一家企业或个别生产环节的补丁和救助,都无法解决整个行业的系统性问题。一些企业确实可以通过维修设备解决发现的问题,但要想重拾消费者对物联网产品的信心,需要整个行业从根本上认识问题,通过行业规范和行业承诺来约束。制造商受法律和道德约束,零售商将安全视为购买决策的重要组成部分。只有自上而下形成安全维护意识,整个行业才能健康规范地向前发展。安保公司也发出建议:必须保护消费者安全。不知情的消费者在社会新技术面前处于弱势地位,因为他们无法做出决定,但消费者有权要求零售商保护他们免受不安全物联网设备的影响。零售商必须对所有不安全的设备负责。一些制造工厂和平台对安全问题的漠视导致了安全问题,但零售商有责任对供应商提高安全要求或形成安全有保障的供应链。关注安全问题不会增加成本,反而会增加消费者的信任度,降低风险成本。在这个过程中,选择一家安全可靠、符合当地法规的平台公司是非常有必要的。一些权威机构的独立第三方认证也可以提供指导,比如服务机构控制报告的SOC认证。政府的参与是必要的。政府法律法规的颁布在一定程度上可以降低安全风险,只有政府才有能力和权力要求公民受到保护。令人欣慰的是,一些平台安全方面的权威测评已经出炉。例如,MachNation2019发布了云平台的实际使用测试报告,包括Ayla平台在内的20个云平台通过了该机构的安全评估测试。然而,消费者不必对物联网技术感到恐慌,因为越来越多的企业正在努力保护用户数据。它们不仅帮助企业保护终端用户的隐私,还引导企业在保护数据的同时规避法律风险,努力推动行业规范的形成。
