IoT 網路安全：後備計劃是什麼？

八月份，四名美國參議員提出了一項旨在改善物聯網（IoT）安全性的法案。2017 年的 「物聯網網路安全改進法」 是一項小幅的立法。它沒有規範物聯網市場。它沒有任何特別關注的行業，或強制任何公司做任何事情。甚至沒有修改嵌入式軟體的法律責任。無論安全多麼糟糕，公司可以繼續銷售物聯網設備。

法案的做法是利用政府的購買力推動市場：政府購買的任何物聯網產品都必須符合最低安全標準。它要求供應商確保設備不僅可以打補丁，而且是以認證和及時的方式進行修補，沒有不可更改的默認密碼，並且沒有已知的漏洞。這是一個你可以達到的低安全值，並且將大大提高安全性，可以說明關於物聯網安全性的當前狀態。（全面披露：我幫助起草了一些法案的安全性要求。）

該法案還將修改「計算機欺詐和濫用」和「數字千年版權」法案，以便安全研究人員研究政府購買的物聯網設備的安全性。這比我們的行業需求要窄得多。但這是一個很好的第一步，這可能是對這個立法最好的事。

不過，這一步甚至不可能施行。我在八月份寫這個專欄，毫無疑問，這個法案你在十月份或以後讀的時候會沒有了。如果聽證會舉行，它們無關緊要。該法案不會被任何委員會投票，不會在任何立法日程上。這個法案成為法律的可能性是零。這不僅僅是因為目前的政治 - 我在奧巴馬政府下同樣悲觀。

但情況很嚴重。互聯網是危險的 - 物聯網不僅給了眼睛和耳朵，而且還給手腳。一旦有影響到位和位元組的安全漏洞、利用和攻擊現在將會影響到其血肉。

正如我們在過去一個世紀一再學到的那樣，市場是改善產品和服務安全的可怕機制。汽車、食品、餐廳、飛機、火災和金融儀器安全都是如此。原因很複雜，但基本上賣家不會在安全方面進行競爭，因為買方無法根據安全考慮有效區分產品。市場使用的競相降低門檻的機制價格降到最低的同時也將質量降至最低。沒有政府干預，物聯網仍然會很不安全。

美國政府對干預沒有興趣，所以我們不會看到嚴肅的安全和保障法規、新的聯邦機構或更好的責任法。我們可能在歐盟有更好的機會。根據「通用數據保護條例」在數據隱私的規定，歐盟可能會在 5 年內通過類似的安全法。沒有其他國家有足夠的市場份額來做改變。

有時我們可以選擇不使用物聯網，但是這個選擇變得越來越少見了。去年，我試著不連接網路來購買新車但是失敗了。再過幾年, 就幾乎不可能不連接到物聯網。我們最大的安全風險將不會來自我們與之有市場關係的設備，而是來自其他人的汽車、照相機、路由器、無人機等等。

我們可以嘗試為理想買單，並要求更多的安全性，但企業不會在物聯網安全方面進行競爭 - 而且我們的安全專家不是一個可以產生影響的足夠大的市場力量。

我們需要一個後備計劃，雖然我不知道是什麼。如果你有任何想法請評論。

這篇文章以前出現在 9/10 月的 《IEEE安全與隱私》上。

作者簡介：

自從 2004 年以來，我一直在博客上寫關於安全的文章，以及從 1998 年以來我的每月訂閱中也有。我寫書、文章和學術論文。目前我是 IBM Resilient 的首席技術官，哈佛伯克曼中心的研究員，EFF 的董事會成員。

via: https://www.schneier.com/blog/archives/2017/10/iot_cybersecuri.html

作者：Bruce Schneier 譯者：geekpi 校對：wxy

本文由 LCTT 原創編譯，Linux中國 榮譽推出

本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive