物聯網安全是幾乎從零開始的安全領域�,無論是汽車CAN總線還是化工廠傳感器,都是近年來隨著數字化進程的深入才開始面臨嚴峻的網絡安全問題���。從芯片��、協議����、組件��、軟件�、到終端設備和網絡設備��,無論是(網絡)安全設計�、安全標準���、安全技術�����、安全管理和安全法規方面都在不斷完善中���,但這些工作似乎絲毫也沒有減輕人們對物聯網安全的擔憂�,事實上,事情可能比我們想象得更加糟糕�����。
市場的高度碎片化����,產品的大規模低成本制造和快速迭代��、供應鏈的全球化�,監管的區域化�、廠商安全能力的先天不足,用戶安全意識的缺失�����,都讓物聯網安全標準的統一和實施變得異常艱難和遲緩���。
任何一個國家���,包括科技領先的美國��,都無法觸及更別提掌控整個物聯網供應鏈的安全性�����。這導致物聯網安全成為全球性難題����。
但是�����,有一位安全大咖——布魯斯·施耐爾(Bruce Schneier)���,近日在大西洋理事會的一份報告中提出了一個清奇的方案:通過頭部電商平臺(例如亞馬遜)監管上游供應商生產安全的IoT設備和組件����。大西洋理事會將該方法稱為“反向級聯”���,通俗點說就是“倒逼”。
說白了����,就是要求頭部電商平臺對物聯網產品的安全性負責!
Schneier的建議可以總結為:
既然讓全球各地成千上萬的廠商和零件供應商合規對各國政府管理部門來說難度太大���,那么就發動市場渠道的力量��,讓亞馬遜這種頭部電商平臺����,包括電信運營商來承擔起一部分監管和推動物聯網產品達到更高的(本地)安全標準和要求�。
換而言之,來自國外廠商(供應鏈)的物聯網產品或者組件��,即使沒有對應的強制標準或法規禁止你銷售�,但是在頭部電商平臺卻無法上架�����,變相地把電商環節的監管變成了“強制性標準”�。
沒有無辜的雪花
對于物聯網安全問題來說���,沒有無辜的雪花��。因為物聯網設備不是一種單一產品,它是由世界各地制造商在不同地方制造的各種組件的組合����,任何一個組件都可能導致安全問題。
雖然全球各國����、標準組織和企業正在努力通過自愿標準來改善物聯網安全狀態,但是產品依然存在一系列問題���,包括出售時默認配置不安全以及供應商提供補丁程序的能力參差不齊����。
問題是如何在政府監管機構無法觸及的地方要求物聯網供應商實施良好的安全實踐。大西洋理事會報告給出的解決方案正是:緊緊抓住美國的產品零售商和分銷商�,他們反過來會要求其供應商達到更高的標準���。
大西洋理事會報告的合著者之一���,安全專家布魯斯·施耐爾(Bruce Schneier)表示��,對物聯網產品安全����,應當像對嬰兒食品的營養成分或兒童睡衣的耐火性一樣進行監管����。
Schneier的說法絕非危言聳聽,隨著全社會的數字化程度不斷提高�����,越來越多的人擔心�����,無論是接入網絡的(自動駕駛)汽車����、智能家電�、醫療設備還是關鍵基礎設施,設備安全性問題可能會造成災難��。報告警告說����,后果可能是致命的���。
Schneier說:
如果我們想確保美國的最低限度的安全標準,我們就必須對某些美國實體施加限制���。最佳切入點就是那些出售產品給消費者的公司,包括是亞馬遜�、沃爾瑪以及某些分銷商。
該報告由納撒尼爾·金(Nathaniel Kim)和特雷·赫爾(Trey Herr)共同撰寫���,他說:
恒溫器不足會造成財產損失,但缺少恒溫器的發電機可能會導致停電���。恒溫器損壞的汽車���、交通信號燈和醫療設備可能導致死亡。
反推與倒逼
該委員會寫道,美國沒有針對物聯網的強制性標準�����。即使物聯網法律更為普遍���,但對于生產大量物聯網設備的中國制造商而言���,這些法律將無法執行���。
但是�����,美國一些州今年初已經開始制定甚至實施標準��。例如����,加利福尼亞州的物聯網法規SB-327(于1月生效)禁止銷售沒有達到基準安全措施的設備����。俄勒岡州的物聯網法律也于1月生效�,與加利福尼亞州的法律類似。
大西洋理事會的報告認為,法規應當推動零售商和分銷商要求其上游供應商生產安全的IoT設備和組件�����。
從銷售渠道倒逼供應鏈的例子已經存在�����。例如���,大西洋理事會的報告中提到,加拿大民間社會組織向美國零售商家得寶(Home Depot)和西爾斯(Sears)施加壓力���,要求其對加拿大伐木公司實施伐木標準和保護措施。此外�����,美國國防部要求供應商對供應商的良好供應鏈做法負責��。
該委員會指出�����,百思買�、沃爾瑪和亞馬遜在美國銷售大多數消費電子產品���。百思買(Best Buy)在其2019財年企業責任報告中指出,它已經“致力于建立有關物聯網設備的安全性和隱私性方面的客戶期望基準”���。
值得重點關注的是Wi-Fi路由器產品,現代數字家庭中最重要的物聯網(網關)設備���,同時也是安全性最糟糕的產品之一。報告指出��,就WiFi路由器而言��,物聯網法規對電商平臺的監管同樣適用于寬帶提供商�����,通過寬帶提供商來倒逼路由器設備的安全合規��。理事會寫道:“只有不到十二家寬帶提供商��,包括Comcast����、Charter、AT&T���、Verizon和CenturyLink等名稱,為所有聯網的美國家庭提供服務��,而排名前三的提供商則擁有超過一半的市場����。”
缺乏監管就是扼殺創新,不作為就是胡作非為
Schneier表示���,如果“亞馬遜不出售安全性較差的路由器,那么用戶將不會采購到這些路由器����,這意味著制造這些路由器的公司將失去美國市場���,除非他們遵守該法規�����。”
Schneier承認���,制造安全性更好的物聯網設備意味著成本和售價的上升。但他認為��,如果沒有監管����,任由安全性較差的設備繼續出售將導致“劣品驅逐良品”,因為就安全性而言��,消費者不僅不了解產品區別,而且對安全的價值認知也很有限����,自由市場機制在這里是失靈的。
事實上��,由于各國缺乏有效監管���,安全性較差的WiFi路由器已經成為全球網絡空間的重大安全隱患��,這些路由器不但會泄露用戶家庭網絡上的數據�����,而且被僵尸網絡控制后能夠發動毀滅性的物聯網DDoS攻擊�。2016年導致半個美國癱瘓的僵尸網絡DDoS的流量就來自海量的民間物聯網設備(包括路由器����、攝像頭甚至聯網冰箱)���。日本政府曾在原定的東京奧運會舉辦之前,對全日本2億臺家庭WiFi路由器進行了安全普查�。過去二十年WiFi路由器供應鏈上游累積和擴散到全社會的安全性問題,在終端市場的補救不但勞民傷財且收效甚微��。
