该是为物联网安全建立标准的时候了!
随着消费者开始将日常生活中的更多方面连上网际网路,一个令人烦恼的问题来了:如果我们生活的每个部分都变“智慧”,我们够安全吗?根据思科(Cisco Systems)的预测,到2020年全球将有500亿台连网装置,这意味着骇客有500亿个管道能渗透到消费者的网路并偷取它们的个资。
在如火如荼设计突破性物联网(IoT)创新技术与发表新产品的热潮中,有两个重要的因素被抛诸脑后安全性与隐私;如同我们最近在新闻报导中所见,骇客能入侵连网汽车、甚至连网婴儿监视器,那些都是实际存在的状况。
在笔者先前另一篇物联网安全性文章(参考连结)中,列出了几个工程师能克服物联网安全性挑战的方法,包括结合互通性、教育以及适当的设计;在这个议题有两个关键领域需要更深入探讨:第一,我们能如何为物联网开发社群建立通用标准?第二,我们能如何从初始设计到系统架构将安全性与隐私保护纳入考量,并将系统更新提供给已部署的产品?
建立具备兼容性与安全性的通用标准
标准化长久以来是任何产业界都得面对的课题;举例来说,汽车首度问世时,每家制造商以完全不同的规格打造自己的车辆,这为维修业者、消费者甚至各家车厂都带来麻烦,除了不方便、没有效率,缺乏标准也会因为消费者无法操纵自己拥有以外的车辆而产生危险。
在连网装置问世后,类似的问题也跟着出现。产业界快速成长,众家业者采取各自不同的市场经营与产品开发模式;让事情变得复杂的原因是,物联网解决方案与装置通常并非只有一种产品,而是有来自不同厂商包括软体与硬体的无数系统。
整体系统的安全性就等同于其最弱的连结,一个多供应商的环境则可能带来一系列额外安全弱点。举例来说,如果有人能命令你家的智慧窗帘在你不允许的情况下关闭,或是开启你的车库门、让你的保全摄影机转向视野不佳的角落,歹徒就能轻易地闯进你家取走财物。
要维护消费者的安全并避免动员政府主管机关强制以法规来管理市场,身为开发社群一员的我们,需要采取制造商与软体开发商都能遵循的一贯性标准,让系统更具兼容性与安全性。跨产业厂商的合作是建立统一通讯协议、确保产品能共同无缝安全运作的关键。
将安全性与隐私保护融入设计理念
为了防范宵小,许多人都会在家里的窗户装铁窗,但设计不良可能反而导致这样的防护成为火灾逃生时的障碍、威胁屋主生命安全;而如果在房屋设计时就将安全性考量纳入,就可以避免屋主采取那类无效又危险的保全方案。
今日的连网装置开发者也面临相同的情况;市场上的物联网设备百百种,从厨具、冰箱到自动驾驶汽车,将安全性纳入设计可能会很复杂。举例来说,如果消费者在更新连网洗碗机等大型家电的软体时遇到困难,可能无法像是处理一般小电器那样直接送回零售商店,并因此出现安全漏洞。Android的Stagefright软体漏洞,就有超过9.5亿台装置曾受影响。
除了安全性,隐私保护也同样重要,在这个智慧装置大量收集资讯并透过网路交换的世界,稍有不慎就会让骇客窃取消费者或企业的隐私。为此软体开发商与硬体制造厂需要确保消费者个人隐私被安全储存,但这一点说比做容易,应该从设计的角度考量。
要将安全性与隐私保护融入新装置的开发,需要将整个装置生命周期管理都纳入考量,从产品初始设计、作业环境到系统更新;开发者须谨记于心的是,产品在开发环境之外也需要确保安全。但并非总是有可能从装置开发的第一天就考量到安全性,特别是物联网可能是许多旧有技术的综合产物,如何整合或管理装置的安全性就很重要。
不可否认的,物联网将为我们的日常生活带来正面的影响,但如果我们没有解决安全性与隐私保护的问题,反而会让持续问世的不安全装置让我们陷入风险,并因此让政府机关以法规限制的手段介入,妨碍产品与技术的创新。
在因应市场对连网装置不断增加的需求之同时,确保其安全性与隐私保护是最需要优先考量的事项;开发社群需要共同合作,建立一致性的标准并将安全与隐私保护纳入产品开发生命周期中。透过合作,我们才能实现连网世界的承诺。