我們在物聯網中安全嗎？

譯 / 商嫣然

我們在物聯網中安全嗎？

譯 / 商嫣然

假設一個罪犯在利用你的網絡攝像頭來監視你的房子，或者你的冰箱為某些你甚至不知道的人發送垃圾電子郵件，再想象一下有人侵入你的烤面包機，進而接觸到你的整個網絡……隨著智能產品在物聯網中的廣泛使用，通過這種新的連接遭受攻擊的風險也在不斷增加。ISO標準有助于使這一新興產業更加安全。

作為消費者和科技產品的用戶，我們往往被物聯網驚人的功能吸引，以至于不花一分鐘的時間去想想這對于我們的隱私和安全來說意味著什么。當然，一個嬰兒監視器可以讓家長安心，因為通過智能手機就可以隨時隨地輕松地監測他們的孩子。但當這種技術不受保護的時候，我們可能會在不經意間暴露自己和我們所愛的人。

事實上，對任意的陌生人進行窺探從未變得如此容易。它需要的只是一個搜索引擎，比如撒旦——谷歌物聯網（IoT）——它也曾強調這種技術的風險，潛入網絡從未受保護的設備中獲取圖片。對于家中的物品、我們的寵物，甚至我們的冰箱，只是一個點擊即可。直到嬰兒監視器被黑客攻擊并侵犯到他們熟睡的孩子時，一些父母才意識到他們所依賴的這種方式是多么脆弱。這并不奇怪，在過去的3年中，物聯網技術的投訴數量僅在英國就上升了2 000 %。

美好的新世界

物聯網是指數十億個連接的智能設備頻繁地交換大量數據，關乎我們的生活、工作和休閑。ISO/IEC信息安全管理體系工作組召集人Edward Humphreys教授說，“它們旨在讓我們的生活更輕松、更健康、更智能，讓我們的企業更有效率，但這往往是有代價的。因為它們為我們所做的一切令我們想去信任這些技術，但我們必須意識到數據安全和保護隱私方面的后果。”

例如，在你開心地購買到最新的語音控制智能電視時，你可能不會考慮這項技術為了能夠識別正確的命令，它需要 “聽”到你說的一切。如果這僅僅是你和你的電視之間的事情，那么并不會構成傷害。然而，通常情況下，使設備能夠交換信息的通信信道并沒有被加密或以其他方式保護，使其不受外部訪問。“這幾乎就如同把你的門敞開，任何人都可以在任何時候走進來。” Humphreys說。

問題的關鍵在于，大多數人期望公司和立法者在董事會上提出這些風險，并為此做一些事情。但如果客戶不理解或對數據隱私并不感冒，制造商也不會在意。因為他們知道這些將不會影響我們的購買決策，我們更可能會因為兼容性、價格甚至外觀來決定是否購買一個攝像頭。國際消費者組織的研究表明，人們在點擊同意框之前平均花費6秒鐘的時間來看條款和條件，所以公司為什么要去操心這個問題呢？

國際和歐洲消費者隱私問題的專家Pete Eisenegger說，“就立法而言，我們在自己家里做什么，其保護程度很少能夠同組織數據達到等同。使用可穿戴式和便攜式技術，它跟蹤和監控我們的運動和活動，并知道我們精確的位置。如果把這些與我們提供的所有的個人信息、照片、聯系等這些我們經常在不知不覺中授予的權限結合起來，便非常令人擔心。大數據分析很容易從人們的行為和偏好中了解一個人?！?/p>

在一個超鏈接的世界里，人們所面臨的風險是很高的。最近一個實驗表明，我們可以通過娛樂系統破解一輛移動的汽車，并禁用其加速器。“電子心臟起搏器可以救命，只要他們沒有被篡改?，F在正在出現的和正在融入我們生活的數字技術的范圍是勢不可擋的。” Humphreys說。

“我們看到關于互聯網技術的一個新世界的秩序正在出現。這不僅僅是關于產品，而是整個系統?！睂σ粋€設備安全的失職會影響到許多人。2013年，黑客通過互聯網訪問美國一家大型零售商，竊取了數以百萬計的信用卡號碼。脆弱的設備可以被利用從而攻擊其他設備。我們需要像反思疫苗一樣來反思物聯網的安全性。如果你沒有得到保護，你就有可能把危險傳遞給別人。我們對于設備的保護或“防疫”措施越完善，我們受益也會越多。

“這就是為什么我要強調使用信息安全和隱私標準的重要性，” Humphreys解釋說，“我們有一些解決方案來解決這些問題，并盡量減少風險，還有更多的方案在研究中，但組織需要它們。”

ISO/IEC 27001和ISO/IEC 27002這些標準提供了一個共同的語言來解決信息安全的治理、風險和合規性問題。ISO/IEC 27031和ISO/IEC 27035幫助組織機構對網絡攻擊做出有效的回應、緩解和恢復。也有一些ISO/IEC標準定義的加密和簽名機制，可以集成到產品和應用程序來保護網上交易、信用卡的使用和存儲的數據。

Humphreys認為，下一個值得關注的是隱私標準?！拔覀冋谂⒁粋€堅實的標準基礎，從而在一個數字連接的世界里保護我們的數據，并加強消費者的信心。我們希望這些可以被用來開發解決方案，以應對物聯網的具體挑戰。”

消費者是否在意？

問題被這一事實復雜化了：許多人或勉強，或心甘情愿地，以我們的隱私和安全去交換被認為是更有價值的最先進的技術。這些設備已經成為日常生活的必需。以我們的數據來支付這些現代化的便利，這樣的代價是否太高昂了？

讓我們看看其他互聯網行為。人們經常上傳自己的圖片或發布孩子的視頻，他們分享自己的政治觀點、旅行目的地、最喜歡的購物中心。問題并不在于我們是否應該暴露這么多的我們的個人隱私，如果我們愿意這樣選擇也無可厚非，而在于我們是否了解我們所做這些事情的影響，以及我們是否可以控制別人從我們這里收集數據。

由于互聯網使人們更容易跟蹤和識別人，這些信息一旦落入別有用心的人手中，就可以把我們置于風險之中。人們的網絡安全意識在日益增加。美國國家消費者聯盟的研究發現，76%的美國青少年關心自己的隱私是否會受到日常網上活動的威脅，但人們很少將這些與物聯網聯系起來。

ISO消費者政策委員會（ISO/COPOLCO）正在將這些問題納入標準化議程。因為消費者不理解低安全性的后果并不意味著他們不應該受到保護。ISO消費者政策委員會代表Bill Dee說，“消費者對安全問題的認知、態度、價值觀及保護隱私的需要是重要的，也是我們亟待解決的問題。在消費者政策委員會，我們已經完成了對消費者戰略性隱私標準差距的報告，現在正優先解決消費者購買使用產品和服務中的‘隱私權設計’問題。”

隱私權設計

Eisenegger認為，問題的核心在于，從一開始，許多消費者日常生活中所使用的設備進入市場時就沒有或很少考慮到隱私和數據保護的問題?！氨M管在收集與看管我們個人隱私方面有許多國際標準可供組織機構借鑒，但是為了物聯網更加安全，我們需要從良好的實時隱私控制開始建立新的安全技術。改變我們的方法不僅會使默認狀態更為安全，也將使安全功能更易使用和方便更新?！?/p>

企業無法保護設備的一部分原因是，開發物聯網技術的設計者很少是安全和隱私專家。“工程師應當重視在設計過程中關注這些特征，才能出現更少漏洞。然而目前的工作，太多被定義為‘補充說明’，”Eisenegger說。為了能改變這一點，ISO消費者政策委員會提議制定一項商品和服務隱私方面的數字設計標準。

Eisenegger 補充說，“如果我們能受ISO 9001持續改進周期的啟發來開發一個隱私設計程序，正如ISO 10377在產品的安全性方面已經做到的那樣，這將是一個巨大的進步。這樣的標準將致力于使跟蹤和保護數據更容易，確保大數據分析和評估產品隱私的保密性?！?/p>

Eisenegger說，“比起擔心消費者是否能夠接受當前技術、產品和服務提供的默認安全和隱私選項，我們更應該想一想開發商應當做些什么來建立起消費者的信心與信任。這是國際安全和隱私標準的新前沿。它被‘接種’到產品或服務中，可以充分保護我們的信息且提供實時操控。它可以最大限度地減少設備收集的數據量。它可以讓我們了解任何第三方處理，并加強可追溯性和問責性?！?/p>

如果這是成功的，那么類似的方法可以解決交叉切割的數字問題，如可訪問性、脆弱性以及隱私問題，同時考慮到可購買性、公平性和非歧視原則。

因此，雖然目前有一個廣泛的網絡安全標準，但在物聯網方面ISO仍然有許多工作要做?！耙坏┬畔⒈皇占琁SO/IEC 27001系列標準能很好地幫助組織保持信息安全。但我們需要開發專門針對物聯網風險提出的解決方案，”Eisenegger說。標準是把這些問題帶到國際議程中的一種有力的方式。

我們需要馬上采取行動。我們的家庭、活動和個人信息已經不可逆轉地與其他數十億人通過日常設備交織在一起。物聯網把我們是誰、我們在做什么透明化，從而將隱私和安全的影響提升到了一個全新的水平。為了使我們的生活遠離窺探的眼睛，我們需要關上門并將其鎖上。

（原文標題：Are we safe in the Internet of Things?，

作者： Maria Lazarte，譯自ISO官網）