ReadWrite

政府是否担心智能咖啡壶将西翼推倒?

美国总统府所在地美国白宫在晚上。

十年前,您不必担心有人会入侵您的冰箱。今天,您的私人家庭助理实际上正在聆听您的一举一动。专家认为,短短几年内, 200亿个设备 连接到互联网,由于这些设备内置的安全性不足,有可能遭到攻击者的破坏。

毫无疑问,随着物联网设备的激增,攻击者越来越多地寻求利用它们。大型事件(例如去年10月的DDoS攻击 最终由Dyn操作的目标定位系统和安全专家的警告最终引起了政府官员的关注。

也可以看看: 智慧城市的网络安全是否被危险地低估了?

这样想吧。政府雇员将智能咖啡机连接到他或她的计算机连接到的同一WiFi网络中(尽管智能咖啡机的制造商通常会指示将这些设备连接到他们自己的隔离WiFi网络,以防万一该特定网络不会损坏任何其他设备)。不久之后,攻击者将网络作为目标。咖啡机未安装防病毒软件或与此相关的任何类型的安全性,因此被感染。很快,整个网络将受到威胁。 

那么,一个咖啡壶可以用勒索软件感染西翼的网络吗?

不太可能,但肯定有可能。

几天前,联邦政府推出了 物联网网络安全改进法, 该计划旨在为政府购买物联网设备设定安全标准。

政府通常不会参与制造决策,因此可以避免扼杀创新。但是,物联网安全现在是国家安全问题。参议员马克·沃纳(Mark Warner)(D-Va。)和科里·加德纳(Cory Gardner)(R-Colo。)率先要求要求向联邦机构出售可穿戴设备,安全摄像机,传感器和其他联网工具的公司遵守更严格的安全法规。

虽然好消息是物联网设备的安全性问题受到越来越多的关注,但拟议中的法案只会对销售给联邦机构的设备,而不是销售给消费者的设备施加安全法规。

很多问题

这就提出了很多有关美国消费者物联网设备安全性的问题。 独立消费者将如何从销售给联邦政府的产品所需的安全功能和增强功能中受益?即使不是联邦政府购买的产品,所有物联网产品的供应商也会保持相同的标准吗?供应商可以选择向政府和消费者出售哪些型号吗?在美国销售的所有商品和技术是否有标准要求,尤其是对于那些收集了个人数据的设备而言? 

该法案将对消费者和供应商构成挑战。我们意识到物联网设备可能在计算机之外造成的真正危险;他们可以控制现实世界中的系统。在很多情况下,安全性是事后才想到的,而不是我们在决策和建设产品过程中成为合作伙伴的合作伙伴,而这些产品我们已经成为消费者的产品。由于物联网设备的采用正在上升,制造商正在竞争以保持领先地位。这意味着制造便宜的产品 –这意味着忽略安全措施。 

结果,消费者为了方便和享受产品和服务而牺牲了安全性和隐私性。相反,我们应该挑战自我,询问便利是否值得冒险和妥协。我们应该要求物联网设备的创造者和创新者应将安全性视为重中之重。 

白帽子可以通过

这份拟议法案的另一个有趣的部分是它为研究人员提供的掩护。如果获得通过,该法案将“根据遵循的经协调的漏洞披露指南,在进行研究时,根据《计算机欺诈和滥用法》和《数字千年版权法》对从事善意研究的网络安全研究人员免于承担责任。”

这意味着将为安全研究人员提供更多的“诚信”自由,以通过白帽黑客攻击和其他方式探索物联网设备的漏洞。结果,更多的研究人员将能够从道德上披露更多发现的危害和安全隐患。

现在,我们必须问自己这是一项长期计划和策略,以使安全要求和验证与快速发展的技术保持同步,还是我们需要不断监控和修复的问题。这些问题的答案将随着时间的流逝而出现,不幸的是,这是反复试验的结果。

作者是SecureAuth的首席信息安全官。 她拥有15年以上的领导经验,为初创企业和财富500强公司实施了供应商安全风险和评估程序,为SecureAuth的自适应身份验证和IS解决方案套件定义了安全路线图。她是治理,风险与合规(GRC)框架中公认的主题。