- 物联网安全更新常被忽视,导致漏洞产生。
- SUIT 等标准和法规努力旨在提升物联网安全。
- 消费者与监管部门的合作对于有效安全至关重要。
引言
Michael Richardson是 Sandelman Software Works 的首席科学家,在网络和系统架构咨询方面拥有超过 28 年的经验。他的工作重点是将安全架构作为集成系统性能工程的一部分。他还是 IETF(互联网工程任务组)的成员,并共同主持了低功耗和有损网络路由(ROLL)工作组。他活跃于安全领域,特别是在 IPsec、BTNS 和各种认证工作组中,并撰写了 RFC4025 和 RFC4322。
因此,我认为最大的问题是我们并不真正拥有自己的设备。
Michael Richardson,Sandelman Software Works 首席科学家
物联网安全更新仍是薄弱环节
许多物联网(IoT)设备缺乏可靠的机制进行安全更新,这是一个重大漏洞。物联网标准与安全专家 Michael Richardson 强调,尽管保持软件更新至关重要,但制造商往往因担心用户设置和设备稳定性而犹豫实施自动更新。这种犹豫源于担心固件更改可能中断设备功能或给用户带来不便,从而导致消费者不满。因此,许多设备仍处于过时状态,易受网络攻击。
另请阅读:Sateliot 扩展 5G NB-IoT 卫星星座
Richardson 指出,诸如 IETF 的 SUIT(物联网软件更新)等新兴标准旨在提高更新过程的可靠性,并降低与过时固件相关的风险。SUIT 提供了一个以安全方式交付软件更新的框架,确保设备免受已知漏洞的影响。通过采用此类标准,制造商可以帮助确保物联网设备在整个生命周期内保持功能和安全性。
然而,消费者意识的缺乏进一步加剧了该问题。许多用户不知道需要保持设备更新,或者缺乏相应的技术知识。这造成了网络犯罪分子可利用的缺口,突出了制造商创建用户友好的更新机制并教育消费者了解安全重要性的必要性。标准机构、制造商和用户之间的合作对于建立更强大的物联网安全生态系统至关重要。
法规努力与影响
在一些地区,政府正在介入应对物联网安全挑战。例如,英国已强制要求更新必须在指定时间内可用,推动制造商遵守基本安全标准。该法规于今年四月生效,要求所有物联网设备确保更新可用性。确保对设备的持续支持至关重要,尤其是因为这些设备在首次购买后往往还会使用多年。
同样,加利福尼亚州也在考虑实施类似指令,但执行时间表尚不明确。监管环境仍在演变,但 Richardson 认为这些步骤正朝着正确的方向发展。他强调,尽管这些规定可能导致电子废物增加,但它们对于迫使制造商维持安全标准是必要的。尽管存在这一缺点,但优先考虑消费者安全和数据保护是值得的。
这些法规旨在为行业树立先例。通过执行这些措施,政府发出了明确的信息,即在物联网开发中安全不应是事后考虑。这可能导致制造商改变产品设计方法,专注于将安全构建到设备的核心中。Richardson 还提到,这些努力只有在严格的执法和违规处罚的支持下才会有效。
平衡消费者隐私与安全
Richardson 讨论的主要问题之一是物联网制造商对用户数据的货币化。公司通常使用基于监控的商业模式来产生经常性收入,这带来了额外的隐私和安全风险。使用连接设备收集和货币化个人数据,使公司能够补贴设备成本或在销售后产生持续收入。然而,这种商业模式常常与用户的隐私权相冲突。
消费者需要决定是愿意为维持设备安全支付订阅费,还是允许制造商将其数据货币化。Richardson 强调,缺乏透明度使情况复杂化,因为许多消费者不知道他们的数据是如何被使用的。引入安全更新订阅模式可能提供一种解决方案,但会给消费者带来额外的经济负担,引发关于安全物联网设备可及性的问题。
Richardson 强调了真正设备所有权和维修权的重要性。当消费者拥有维修权时,他们可以确保设备保持运行,而不完全依赖制造商。这种方法赋予了消费者权力,使他们的利益与制造商的利益保持一致,并最终增强了物联网安全。真正的所有权还允许消费者决定其设备的隐私设置,减少他们对制造商的更新依赖,并限制数据货币化机会。
结语
访谈最后讨论了物联网安全的未来。Richardson 指出,法规措施、改进的标准和用户教育都是有效应对物联网安全漏洞的必要组成部分。他重申,需要包括政府、制造商和消费者在内的利益相关者共同努力,以创造一个更安全的物联网环境。法规措施让制造商承担责任,而标准为安全更新和设备管理提供了基础。
Richardson 还讨论了教育在培养具有安全意识的消费者群体方面的作用。许多用户不知道其物联网设备中未修补漏洞带来的潜在威胁。通过提高认识并提供清晰指导,制造商和监管机构可以帮助弥合这一知识差距。用户教育对于降低安全风险至关重要,因为知情的消费者更有可能采取主动措施来保护其设备。

