草率的物联网安全实践继续困扰着设备制造商


来源:   时间:2020-08-21 15:27:29


只有少数消费者信任他们使用的品牌。物联网(IoT)本身在消费领域存在信任问题。William Webb和Matthew Hatton在“物联网神话”中写道,隐私问题和糟糕的用户体验“阻碍了采用,并在用户之间建立了信任物联网设备的犹豫感”。

尽管智能家居设备的采用率持续上升,但隐私和安全问题将其使用限制在日常任务中。例如,根据eMarketer的研究,最流行的智能扬声器功能仅仅是播放音乐。

同时,物联网设备制造商在隐私和安全性方面继续面临来自消费者和监管机构的压力。Frost&Sullivan研究高级主管Dilip Sarangan说:“我们处于[IoT制造商]与DDoS(分布式拒绝服务)攻击以及各种类型的黑客威胁进行对抗的情况。”

除此之外,公众对制造商如何使用物联网的安全性和隐私感到沮丧。去年,互联网协会的一项调查发现,有63%的受访者认为连接的设备“令人毛骨悚然”。四分之三的受访者不相信物联网设备标记会尊重他们在数据使用方式方面的偏好。

直到物联网制造商在信息治理方面变得更加精明,这种情况才可能改变。在这里,我们研究了开发物联网产品时要避免的常见陷阱。

近年来,有关消费者物联网设备不安全的头条新闻仍然很普遍。最近,研究人员在数亿个物联网设备中发现了一系列被称为Ripple20的漏洞,这些漏洞远远超出了消费领域。Sternum首席执行官Natali Tshuva表示:“ Ripple20漏洞影响了许多关键的IoT设备,包括医疗保健系统,电网,智能家居设备等。”

国家安全局前雇员,现为ReFirm Laws首席执行官的特里·邓拉普(Terry Dunlap)说,发现Ripple20漏洞并不令人惊讶。许多IoT设备都是使用开源组件构建的。如果这些组件中的任何一个存在缺陷,“邓波拉说:“它将广泛传播。”尽管开源软件比专有软件可以提供更好的监督,但是开源安全研究人员和开发人员无法检查所有可能的安全漏洞。

使用一种一应俱全的方法来实现安全性

2010年,当他担任Google首席执行官时,埃里克·施密特(Eric Sc​​hmidt)表示,该公司的政策是“走上令人毛骨悚然的路线,不要越过它”。看似野蛮的评估突出表明,技术在帮助和侵犯隐私之间取得了平衡。但是,消费者对隐私的态度差异很大。

尽管标准,如欧盟的通用数据保护条例(GDPR)和加州消费者隐私法(CCPA)规定类似的做法,监管环境已经变得更加复杂。“在信息风险的世界中,一般规则是建立最高标准,计划变更并考虑例外情况,” Analyst Syndicate分析师Karen Hobert说。

夸大营销中的安全性或隐私功能

消费者对可信赖的技术有巨大的需求。根据2019年Edelman信任晴雨表,大约三分之一的消费者信任他们购买和使用的大多数品牌。在技​​术方面,“人们在决定购买何种产品和服务时会考虑安全承诺,”爱德森律师事务所合伙人阿里·沙格(Ari Scharg)说。RSA于2019年进行的一项调查显示,尽管许多消费者愿意为便利而交易一些隐私,但他们依靠科技公司来确保其敏感数据的安全。

Scharg说,在这种背景下,技术公司应避免过度销售其产品的安全功能。视频平台Zoom是过度承诺如何适得其反的最突出例子之一。平台的制造商Zoom Video Communications最初将平台计费为端到端加密。但是该公司后来承认最初不支持该功能。

责怪客户安全问题

尽管安全仍然是消费者的重要考虑因素,但大多数人缺乏扎实的安全基础。根据RSA数据隐私和安全调查,消费者认为“他们保护自己的数据的责任微乎其微,从而导致密码和信息处理习惯松懈”。

这种动态导致一些物联网设备制造商通过不使用安全密码或多因素身份验证来欺骗客户,从而应对违规行为。Kudelski Security首席执行官安德鲁·霍华德(Andrew Howard)说:“总的来说,责怪您的客户是一个坏主意。霍华德说,安全从业人员应该更好地简化最终用户的安全并对其进行教育。

将隐私与公平相结合

在信息治理方面,隐私和公平都是至关重要的概念。但是它们是不可互换的。RSA首席技术官Zulfikar Ramzan说:“有时人们会混淆这两个概念。”

面部识别是这些术语之间的界限变得模糊的一个突出示例。著名的技术公司最近放弃了将面部识别技术出售给执法部门的计划。但是,Ramzan认为,该技术侵犯隐私的潜力并不是其争议的核心。根本问题是公平。他说:“如果你考虑一下,我的脸对我来说是最私密的。”“真正的问题是,如果有人拍摄我的脸部图像并以可疑的方式或我可能不赞成的方式使用它。”

正如麦肯锡观察到的那样,不考虑合理使用技术的组织往往会面临反吹,而最有可能赢得公众支持的公司则致力于透明度和增强消费者权能。

将安全控制集成到产品中

专家不断提出设计安全原则,但这并不意味着该建议会被认真听取。在设计过程中,随着安全性的提高,成本也会增加。霍华德说:“以我自己的经验,在(产品开发周期中)后期建立安全性通常要贵10倍以上。”

赛普拉斯半导体公司嵌入式安全高级总监Jack Ogawa表示,消费者物联网设备的利润通常很小。小川说:“如果您有一个智能恒温器,您一年可能会售出几百万台。”“大多数物联网的东西都以数十万个单元运行。”这种动态使许多公司在制造过程中采用按需付费的方法。事实是,随着上市时间的压力,在安全性方面常常导致偷工减料。

折衷遵守隐私法规

遵守新出现的隐私标准,例如GDPR,《巴西通用数据保护法》或《加州消费者隐私法》,对许多组织构成了挑战。霍伯特说,但是遵守这些法规最终“只是一件好事”。遵守此类法律会向客户,员工,合作伙伴和承包商发出信号,表明公司是值得信赖和负责任的。霍伯特说,它发出的信息是,该组织已“采取步骤遵守法律,不会陷入监管或法律困境”。她总结说,合规部还表示,公司“实际上了解什么是数据隐私”,并且“将响应个人数据请求”。

  版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“物联之家 - 物联观察新视角,国内领先科技门户”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场。

延伸阅读

最新文章

草率的物联网安全实践继续困扰着设备制造商 草率的物联网安全实践继续困扰着设备制造商

精彩推荐

产业新闻

Haylou 智能手表 2 上架京东:12 种运动模式 / 20 天续航,129.9 元 Haylou 智能手表 2 上架京东:12 种运动模式 / 20 天续航,129.9 元

热门推荐

版权所有:物联之家 - 物联观察新视角,国内领先科技门户