Pen Test Partners公司创始人兼合伙人,Ken Munro
旧有立法是目前我们可用于防范物联网隐私侵权的惟一手段。法院方面不得不利用1987年的《消费者保护法》以及第二次世界大战之后制定的《广告法》与《反监督法》等来抵制制造商的低安全性设计行为。很明显,原有立法根本无法跟上现有技术创新步伐,因此目前的案件正越来越多地倾向于根据相适应的现有法律进行判决。
联邦网络局(Bundesnetzagentur)已经于今年早些时候成功在德国根据《Missbrauch von Sendeanlagen》法案叫停了联网“My Friend Cayla”项目,理由是其触犯了这一针对纳粹德国与东德时期所定性的国家性粗暴监视所制定的法令。在美国,电子隐私信息中心亦迅速采取行动,根据《儿童在线隐私保护法》向联邦通信委员会(简称FCC)提起控诉。此外,挪威消费者委员会与欧洲消费者组织(简称BEUC)也对该产品以及iQue机器人(同样由Genesis Toys公司生产)的道德合法性提出质疑。
这些案例足以说明,以一揽子形式禁止产品销售缺乏可行性。政府当局不得不以每次一种的方法管理物联网设备,这主要是由于各地区所采用的依据性法律并不相同。随着越来越多联网玩具走向市场,政府当局该如何对其进行全面测试?立法行动要如何得到强制执行?事实上,Cayla与iQue机器人的欧洲分销商Vivid公司已经在计划对禁令提起上诉。
“自律要求显然没有奏效,因此现在我们看到政府开始采取行动。”
与此同时,联邦贸易委员会还对物联网设备制造商的责任作出裁定,受到起诉的厂商包括D-Link、华硕、TrnedNET以及Revolv。华硕公司同意至少为其产品提供20年支持服务。而在提到D-Link案例时,联邦贸易委员会表示该公司网站上的质疑声明实际上只是一种用于自我宣传的花言巧语。很明显,政府当局急需一套专门面向物联网产品的法律。
联邦贸易委员会在法庭之上强调了保护消费者的重要意义,并于2015年制定了物联网安全与隐私保护工作的指导性方针。当时该委员会并没有呼吁监管机构的介入,因为对于这样一个“不成熟的”行业来说,人们的普遍共识是监管的过早涉入会影响新兴行业的发展。然而自律要求显然没有奏效,因此现在我们看到政府开始采取行动。
在美国,参议院法案《2017年物联网网络安全改进法》正在为物联网设备的安全保障奠定基础。尽管该立法只适用于同政府机构相关的供应商及分支机构,但它的出台很可能会逐步建立起一套影响到设备制造商商业生产活动的执行基准。
这项法案提到,此类设备必须:
•不存在由NIST漏洞数据库或类似目录当中列出的硬件、软件或固件漏洞。
•不使用不建议使用的网络及加密协议。
•不存在可用于远程管理、更新或通信的固定或硬编码凭证。
•能够从制造商处接收认证及受信软件更新。
•向客户披露新近发现的安全漏洞。
•提供未来更新支持,同时能够及时修复新发现的安全漏洞。
这自然是个很好的起点,不过OWASP已经提供一套更加完善的物联网安全指导方针。此外,该组织还为通用应用安全漏洞提供一套比NIST版本相关度更高的漏洞数据库。通过参考OWASP,新的立法内容将不再需要针对每款产品中的单一问题。举例来说,NIST当中并没有列出向定制化应用当中进行SQL注入的情况,但OWASP却有所提及。利用这类全球性标准,将能够更好地推动相关工作的发展。
监管制度的介入还有可能受到反用户所有权活动的影响。根据《修复权利法》草案来看(用于延长产品使用寿命,并使其更易于修复,甚至允许用户自行加以修复),这可能导致固件保护难度提升,而防篡改及混淆技术更会成为有效修复的直接障碍。这一切明显都不利于物联网安全规范的出台。
在缺少监管的情况下,联邦调查局(简称FBI)在最近关于物联网类玩具产品的指导方针当中提到,我们可以通过意识教育与消费者抵制等方式拒绝此类产品,但仍需要更多的激励性政策以及持之以恒的耐性。所谓激励性政策,是以风筝标志及认证等形式为严肃对待安全问题的制造商加以肯定,同时坚持更具惩罚性的立法方案——考虑到现有监管举措的薄弱,后者明显更为重要。
物联网行业现在已经发展成熟,且确实能够从监管当中获益。然而,问题在于要具体采取怎样的监管形式,这些监管工作又该如何执行?设备制造商希望遵循最佳实践以获取市场份额,但为了实现经济层面的可行性,这些厂商还需要通用的标准作为参考——换言之,需要一项法律来约束所有设计及生产行为。
Advent IM有限公司联合创始人兼董事总经理Mike Gillespie
在物联网方面,我认为监管工作不仅没有必要,甚至根本没有可行性。监管机制仅在执法流程切实有效的前提下才能发挥作用,但事实证明监管已经在诸多安全领域中彻底失败。相反,立足制造商、供应商以及最终用户建立起适当的参与文化也许更为重要。
关于物联网的核心事实在于,试图通过监管以达成安全保护的目的实在可行性有限,对其强加规范更像是一种对小猫进行放养的一厢情愿思维。当然,虽然不需要监管,但加以控制仍然不可或缺。
为了实现真正的监管,我们需要在全球范围内建立起合作体系。这意味着大小企业、政府以及各公共机构都应采取同样的作法; 每个使用互联网协议(简称IP)设备的职能实体以及拥有联网功能产品的个人,都应团结在同一面旗帜之下。
考虑到欧盟制定《通用数据保护条例》(简称GDPR)所投入的漫长时间周期,我认为实现物联网管理方法层面的全球合作恐怕只能依靠奇迹方能实现。为什么会这样?正如之前所提到,监管的核心在于执行,那么物联网体系要从哪里入手执行监管任务?在我看来,标准可能是比较靠谱的起点……
“我们不需要新的安全标准,我们需要的可能是强化现有安全标准以将物联网元素加入进来。”
想想互联网及其标准的诞生过程:我们目前的互联网——即如今使用的IP系统——建立在RFC1918规范之上。专用互联网的地址分配机制带动了如今所使用的传输命令协议(简称TCP)IP网络标准的制定。之所以互联网能够成为现实,是因为IP协议具备标准化特性,因此我们能够构建起一套全球性的IP网络地址系统。这就是一个很好的标准化发展实例,每个人都遵循同样的执行依据。其广泛适用于每一个人,人们也知道该期待什么。监管则不同,监管的核心在于执行,而且目前尚不存在相应“实体”能够执行监管工作。
我们知道,并非所有安全领域都需要监管制度才能顺畅运转。举例来说,即使我们拥有信息安全立法,例如数据保护条例,也很少有人愿意采用。另外,尽管信息专员办公室(简称ICO)拥有广泛的执行通报权,但真正符合《数据保护法》的企业却屈指可数。除非以强制性方式要求其采纳这类规范,或者由其自愿将全球性标准纳入企业文化,否则推广之路将极为坎坷。更重要的是,如果缺少这种全球性的标准,那么一切规定都只能是空谈。
因此,我们需要在全球范围内达成一种共识,即物联网产品的安全性与其功能性同等重要。在文化方面,我们需要开发商、制造商以及尽可能多的设备安装人员充分理解并意识到良好的安全需求,并拥有提供良好安全性的必要技能。目前,物联网的发展主要由开发商以及消费者的功能需求作为创新驱动力。很明显,开发商与消费者似乎都没有形成对安全感重要性的认知,因此不可能出现更好的相关实践或设计成果。
在安全方面,我们对电器产品等领域设置有国际及国家性强制执行标准。这些标准会扣押不合格商品,从而保护消费者安全。然而,我们在物联网这类需要在IP环境当中使用的设备却没有类似的安全标准,事实上此类设备同样会触及我们的日常生活甚至影响到人身安全。需要强调的是,在大多数设备当中物理安全与虚拟安全可谓齐头并进,因为二者共同影响着我们的真实世界。无论是空调系统、门禁系统、供暖系统还是视频监控系统,它们在我们的生活中都拥有广泛且明确的物理接触点,并可能影响到用户的人身安全。如果攻击者能够利用薄弱的安全性水平远程访问用户的热水壶或者空调,那么这无疑是一个真正的安全问题。因此,也许我们不需要新的安全标准,我们需要的可能是强化现有安全标准以将物联网元素加入进来。
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。