网络安全领袖人物布鲁斯·施奈尔日前表示,随着联网设备在医疗保健和电力供应类关键领域的应用越来越广泛,政府对物联网的监管将是不可避免的。
日前在伦敦举行的信息安全欧洲(Infosecurity Europe)大会上,施奈尔在主题演讲中说道:“无论如何,政府都会参与进来,因为风险实在太大了。一旦人们开始受到生命威胁,人民财产遭受损失,政府就必须做点什么。”
其面临的选择是:要么消息灵通,实施智慧型监管;要么耳目闭塞,管了跟没管一样。
“在网络安全上有更多的政府干预是无法避免的,因为这些系统愈发真实。”
曾经以测试和认证为特征,应用到车辆、飞机上的安全设计,将进入敏捷开发模式时代,奉行软件安全中“做个能用的顶上,再边用边修补”的信条。
但是施奈尔认为,敏捷模式并不适用于物联网,因为计算设备控制着实体系统。
“我们已经任由程序员按照自己的意志来编码这个世界了,他们在这个社会中地位超脱。但我不认为这种情况应该继续下去。我觉得让程序员为所欲为在物联网时代太过危险。”
施奈尔将物联网比作社会正在打造的一个全球大小的机器人,由一堆能够自主感知、思考和行动的联网设备组成。
“政府更多地参与网络安全是无可避免的,因为系统也更加真切了。随着我们的电脑与真实世界联系越来越紧密,我们正在进入一个充满灾难性风险的世界。”
问题在于,我们尚未拿出一个可以被应用到物联网上的监管结构。政策制定者们不懂技术,技术专家又不懂政策。
我们将见证更多的网络战论调,更多的网络恐怖主义言论,更多的对监视、使用控制、政府信任的呼吁。有太多的决策是市场无法解决的。
施奈尔大师将物联网描述为下一个安全大挑战,因为我们将迎来技术和真实世界的大碰撞。组成物联网的智能设备以一种直接的、物理的方式对世界产生影响。
“这是一个由各种系统互联形成的巨大的系统,充斥着威胁、攻击者,及其造成的影响;物联网就是系统的系统,我们目前看到的所有东西,都被发挥到了极致,而且我们根本停不下来。”
完整性和可用性威胁比保密性威胁更严重,尤其是对联网汽车而言。未来两三年间,很有可能出现针对联网汽车CPU的勒索软件。
施奈尔称,技术人员和开发者应该设计出即使离线或不在安全模式时也能运作的物联网组件。
