物联网安全威胁并没有听上去那么遥远,它就像个火药桶静静地躺在我们每个人的身边,一个不小心轻则隐私泄露,重则性命攸关。一个最浅显的例子就是我们每个家庭客厅玄关上的,安全协议和密码脆弱、固件漏洞百出的WiFi路由器。
事实上,智能门锁、智能玩具、电动汽车、智能水表、智能工厂,还有医院贵重的医疗设备,都是物联网设备,它们的共同特点就是安全漏洞很多而且往往不能得到及时修补,而安全漏洞导致的后果则往往更加严重:轻则泄露隐私、停工停产,重则危及生命和财产安全。这甚至不是一个笑话。
从亚马逊开刀
物联网安全是几乎从零开始的安全领域,无论是汽车CAN总线还是化工厂传感器,都是近年来随着数字化进程的深入才开始面临严峻的网络安全问题。从芯片、协议、组件、软件、到终端设备和网络设备,无论是(网络)安全设计、安全标准、安全技术、安全管理和安全法规方面都在不断完善中,但这些工作似乎丝毫也没有减轻人们对物联网安全的担忧,事实上,事情可能比我们想象得更加糟糕。
市场的高度碎片化,产品的大规模低成本制造和快速迭代、供应链的全球化,监管的区域化、厂商安全能力的先天不足,用户安全意识的缺失,都让物联网安全标准的统一和实施变得异常艰难和迟缓。
任何一个国家,包括科技领先的美国,都无法触及更别提掌控整个物联网供应链的安全性。这导致物联网安全成为全球性难题。
但是,有一位安全大咖——布鲁斯·施耐尔(Bruce Schneier),近日在大西洋理事会的一份报告中提出了一个清奇的方案:通过头部电商平台(例如亚马逊)监管上游供应商生产安全的IoT设备和组件。大西洋理事会将该方法称为“反向级联”,通俗点说就是“倒逼”。
说白了,就是要求头部电商平台对物联网产品的安全性负责!
Schneier的建议可以总结为:
既然让全球各地成千上万的厂商和零件供应商合规对各国政府管理部门来说难度太大,那么就发动市场渠道的力量,让亚马逊这种头部电商平台,包括电信运营商来承担起一部分监管和推动物联网产品达到更高的(本地)安全标准和要求。
换而言之,来自国外厂商(供应链)的物联网产品或者组件,即使没有对应的强制标准或法规禁止你销售,但是在头部电商平台却无法上架,变相地把电商环节的监管变成了“强制性标准”。
没有无辜的雪花
对于物联网安全问题来说,没有无辜的雪花。因为物联网设备不是一种单一产品,它是由世界各地制造商在不同地方制造的各种组件的组合,任何一个组件都可能导致安全问题。
虽然全球各国、标准组织和企业正在努力通过自愿标准来改善物联网安全状态,但是产品依然存在一系列问题,包括出售时默认配置不安全以及供应商提供补丁程序的能力参差不齐。
问题是如何在政府监管机构无法触及的地方要求物联网供应商实施良好的安全实践。大西洋理事会报告给出的解决方案正是:紧紧抓住美国的产品零售商和分销商,他们反过来会要求其供应商达到更高的标准。
大西洋理事会报告的合著者之一,安全专家布鲁斯·施耐尔(Bruce Schneier)表示,对物联网产品安全,应当像对婴儿食品的营养成分或儿童睡衣的耐火性一样进行监管。
Schneier的说法绝非危言耸听,随着全社会的数字化程度不断提高,越来越多的人担心,无论是接入网络的(自动驾驶)汽车、智能家电、医疗设备还是关键基础设施,设备安全性问题可能会造成灾难。报告警告说,后果可能是致命的。
Schneier说:
如果我们想确保美国的最低限度的安全标准,我们就必须对某些美国实体施加限制。最佳切入点就是那些出售产品给消费者的公司,包括是亚马逊、沃尔玛以及某些分销商。
该报告由纳撒尼尔·金(Nathaniel Kim)和特雷·赫尔(Trey Herr)共同撰写,他说:
恒温器不足会造成财产损失,但缺少恒温器的发电机可能会导致停电。恒温器损坏的汽车、交通信号灯和医疗设备可能导致死亡。
反推与倒逼
该委员会写道,美国没有针对物联网的强制性标准。即使物联网法律更为普遍,但对于生产大量物联网设备的中国制造商而言,这些法律将无法执行。
但是,美国一些州今年初已经开始制定甚至实施标准。例如,加利福尼亚州的物联网法规SB-327(于1月生效)禁止销售没有达到基准安全措施的设备。俄勒冈州的物联网法律也于1月生效,与加利福尼亚州的法律类似。
大西洋理事会的报告认为,法规应当推动零售商和分销商要求其上游供应商生产安全的IoT设备和组件。
从销售渠道倒逼供应链的例子已经存在。例如,大西洋理事会的报告中提到,加拿大民间社会组织向美国零售商家得宝(Home Depot)和西尔斯(Sears)施加压力,要求其对加拿大伐木公司实施伐木标准和保护措施。此外,美国国防部要求供应商对供应商的良好供应链做法负责。
该委员会指出,百思买、沃尔玛和亚马逊在美国销售大多数消费电子产品。百思买(Best Buy)在其2019财年企业责任报告中指出,它已经“致力于建立有关物联网设备的安全性和隐私性方面的客户期望基准”。
值得重点关注的是Wi-Fi路由器产品,现代数字家庭中最重要的物联网(网关)设备,同时也是安全性最糟糕的产品之一。报告指出,就WiFi路由器而言,物联网法规对电商平台的监管同样适用于宽带提供商,通过宽带提供商来倒逼路由器设备的安全合规。理事会写道:“只有不到十二家宽带提供商,包括Comcast、Charter、AT&T、Verizon和CenturyLink等名称,为所有联网的美国家庭提供服务,而排名前三的提供商则拥有超过一半的市场。”
缺乏监管就是扼杀创新,不作为就是胡作非为
Schneier表示,如果“亚马逊不出售安全性较差的路由器,那么用户将不会采购到这些路由器,这意味着制造这些路由器的公司将失去美国市场,除非他们遵守该法规。”
Schneier承认,制造安全性更好的物联网设备意味着成本和售价的上升。但他认为,如果没有监管,任由安全性较差的设备继续出售将导致“劣品驱逐良品”,因为就安全性而言,消费者不仅不了解产品区别,而且对安全的价值认知也很有限,自由市场机制在这里是失灵的。
事实上,由于各国缺乏有效监管,安全性较差的WiFi路由器已经成为全球网络空间的重大安全隐患,这些路由器不但会泄露用户家庭网络上的数据,而且被僵尸网络控制后能够发动毁灭性的物联网DDoS攻击。2016年导致半个美国瘫痪的僵尸网络DDoS的流量就来自海量的民间物联网设备(包括路由器、摄像头甚至联网冰箱)。日本政府曾在原定的东京奥运会举办之前,对全日本2亿台家庭WiFi路由器进行了安全普查。过去二十年WiFi路由器供应链上游累积和扩散到全社会的安全性问题,在终端市场的补救不但劳民伤财且收效甚微。
为了打造公平竞争环境,你需要制定一项法规,否则一定会有人钻空子。监管对于公平竞争,实现创新和安全至关重要,缺乏监管是扼杀网络安全创新的原因。
头部电商企业为所销售的WiFi路由器的安全性负责(审核),是一个非常务实的动议。通过头部电商平台倒逼物联网供应链,一方面可以卡住物联网安全威胁扩散的“水龙头“,另一方面,也相当于在区域化安全标准和法规之外,增加了新的颇具弹性和灵活性的贸易竞争壁垒。对于身处全球物联网供应链的中国企业,尤其需要关注和重视。目前,全球包括美国、日本、欧洲的物联网针对性立法都已经起步或者酝酿中,而作为物联网设备的制造大国,我国的物联网信息安全保护立法仍然存在不足,至今没有一部专门针对物联网信息安全问题的基本法,没有形成一个完整的法律体系,并且相关规定,过于繁杂,对整个物联网供应链,尤其是电商平台,缺乏有效监管手段和法规,难以发挥电商平台在推动全社会物联网安全中的“杠杆”和“闸门”作用。
参考资料
安全的反向级联:倒逼全球物联网供应链:
https://dd80b675424c132b90b3-e48385e382d2e5d17821a5e1d8e4c86b.ssl.cf1.rackcdn.com/external/acreport.pdf