揭秘:物联网安全和隐私充斥着五大“谎言”

  物联网有望改善生活的方方面面。它的主要功能在于能够让众多“物件”相互连接,因而获得洞察力,并形成协同效应。尽管这种相互连接的特性同时会带来安全和隐私方面的问题,但现在市场上关于物联网安全和隐私却充斥着五大“谎言”。

t01ccf78fe87a345326.jpg

  第一大谎言:安全加强了意味着隐私减少了

 

  从技术上来说,安全和隐私具有共性。比如,两者都依赖加密,系统的设计方法将有助于保护安全和隐私;两者都存在同样种类的故障,设计软件或系统工程师要是不了解对手的所思所想,就有可能忽视容易被人钻空子的设计环节。

 

  同样,由于物联网的每个部件将是系统的一部分,部件的原设计者可能没有考虑到其部件与其他部件和系统交互时,可能会在安全和隐私方面带来的影响。比如,研究人员以及联邦食品和药物管理署(FDA)已查明,许多个人医疗设备(PMD)存在加密缺陷,会危及设备以及设备记录并传输的数据的安全,但不会危及设备使用者的隐私。

 

  正如我们从传统的IT问题中知道,我们可以获得100%安全的系统,但这种系统毫无功能可言。所以,必须找到一种经济高效又切合实际的折中方案。

 

  第二大谎言:现有的IT安全和隐私概念及做法足以应对物联网挑战

 

  从理论的角度来看,我们知道如何确保系统安全和隐私。但我们不知道如何有效地做到这一点。优先事项总是很重要。我们想花10亿美元来确保本地书店的网站安全吗?不想。那想花这么多钱来确保核弹头安全吗?这听起来是明智的投入,决策者们会决定这么干。如果我们需要更高的安全性,费用就会相当高昂。企业面临现实的取舍:我想购买安全功能,还是购买创收功能?这不是非此即彼,而是折中考虑。

 

  回到效率这个问题,不计其数的设备和系统会与物联网连接起来,我们就要在安全和隐私做法方面极大地提高效率。

 

  “互联网之父”兼谷歌首席互联网宣传官VintCerf在布鲁塞尔会议上发言,他回顾了自己及同事当初为什么为互联网选择32位的互联网协议(IP)地址。他们在粗略计算后发现,最终可能需要20亿个到40亿个IP地址,32位地址似乎绰绰有余。在未来几十年,我们预计每个人可能拥有数百个或数千个相关联的IP地址物件。所以,大大增加的复杂性自然需要大大提高效率。如果我们拥有的物件增加到数万亿个,即便每个物件只要1美分,总的开支也会太高。

 

  第三个谎言:如今的网络安全能解决物联网的大多数问题

 

  需要探究的一个方面是,我们缺少有效的网络领域模型来研究人类和用户行为。什么促使我们做出了明智或糟糕的安全和隐私决策?这很关键,因为人类参与物联网的每个环节,包括设计、实施、运营、部署、维护、使用和停用。

 

  由于互联网和物联网对人类来说如此不可或缺,我们如何为用户行为做模型?工程师在设计这些系统时,我们又如何为工程师的思维过程做模型?如何为人类设计的将在物联网环境下运作的机构做模型?

 

  这里的挑战在于,人类行为不像数学那样有一种封闭形式。比如,就如何描述问题、如何提供解决办法而言,加密就有一种很好的封闭形式。科学有很好的办法来处理没有封闭形式的系统(比如人类行为)。生物学家对细胞行为做模型,而在更广泛的日常生活领域(比如与物联网交互),我们才刚起步。

 

  第四大谎言:适用于IT的软件安全同样会适用于物联网

 

  物联网面临的挑战之一(仅举一个例子)是,一些传统的桌面安全策略恐怕不会很管用。给物联网中的软件打补丁意味着什么?在工业控制系统领域,数十年来设备并不是每个月都获得软件补丁。所以,对桌面计算和传统IT基础设施来说高效的做法对物联网可能毫无成效。

 

  我认为物联网面临的最大挑战可能在于规模上。我们要面对的IT基础设施是个高度联网的基础设施,连接着无数的实体、设备和系统。我们之前对此从未有过透彻的了解。