物聯(lián)網(wǎng)安全是意識問題不是技術(shù)問題

　　創(chuàng)造者和用戶經(jīng)常默認(rèn)這些設(shè)備不會、不能也不必要被好好維護(hù)。他們對用戶不可見，也不提供接口或界面來進(jìn)行管理。

　　聯(lián)網(wǎng)汽車是個有趣的例子，完美闡述了某個單一的東西是怎么成為物聯(lián)網(wǎng)安全問題的。大多數(shù)現(xiàn)代汽車都會有很多不同的網(wǎng)絡(luò)，包括一個控制器局域網(wǎng)(CAN)總線、手機(jī)匹配藍(lán)牙和無線輪胎壓力傳感器。有些汽車甚至還有像安吉星 (OnStar)這樣的蜂窩連接。但是連入這些網(wǎng)絡(luò)的操作系統(tǒng)，直到最近才具備了自動更新的能力。之前，想要對受影響的車輛進(jìn)行軟件升級和打補(bǔ)丁，都必須將車輛召回才行。用戶沒有為車輛網(wǎng)絡(luò)和計(jì)算機(jī)的安全買單義務(wù)。

　　不過，最近有些廠家已經(jīng)能夠進(jìn)行車輛軟件的自動升級了。比如說，特斯拉。這家電動車領(lǐng)軍企業(yè)，從一開始就將網(wǎng)絡(luò)安全放在了首位。除了在設(shè)計(jì)階段考慮安全，還提供經(jīng)常性的無線補(bǔ)丁和更新。一輛特斯拉汽車，就是一臺主動管理和維護(hù)的設(shè)備。從心理視角，沒人會認(rèn)為自家車庫里的特斯拉會是個PIoT設(shè)備。

　　但另一方面，其他車輛，那些從未托管，從未維護(hù)，從未打補(bǔ)丁的汽車，則落入了PIoT的范疇。有趣的是，隨著近年來對汽車黑客活動的關(guān)注，董事會層面上車輛網(wǎng)絡(luò)安全的價值倒是越來越被認(rèn)可，只是要讓用戶轉(zhuǎn)化到新的車輛安全設(shè)計(jì)上可能要花去不短的時間。

　　為分析設(shè)備是否歸屬PIoTa范疇，我們可以將它們放到以設(shè)備創(chuàng)造者安全意識和終端用戶感知安全價值為坐標(biāo)軸的二維空間里。

　　當(dāng)創(chuàng)造者和用戶理解安全的重要性，IoT問題就會變少。這些設(shè)備會被謹(jǐn)慎設(shè)計(jì)，方便管理，通常也不會成為PIoT的一部分。至于其他3個象限，遭遇問題簡直是必須的。

　　如果用戶不渴求安全，設(shè)備中就很有可能摘除安全性——即使創(chuàng)造者知道安全的重要性。如果用戶需求安全，而創(chuàng)造者沒理會這一需求，那么安全將會跟個創(chuàng)可貼似的直到成品的最后一刻才松松垮垮地貼到產(chǎn)品上，不過是給用戶造成一種受到保護(hù)的假象而已，能賣出去就好。

　　而當(dāng)用戶和創(chuàng)造者都不關(guān)心安全，那就真是絕望了。創(chuàng)造者對安全會連個眼神都欠奉。我們在智能燈泡之類的物聯(lián)網(wǎng)設(shè)備中所看到的就是這種景象，而這些被忽視的小設(shè)備往往會帶來新的漏洞。

　　想改善現(xiàn)狀，有幾條建議可用。激勵措施(或懲罰措施)能鼓勵創(chuàng)造者在設(shè)計(jì)產(chǎn)品時更嚴(yán)肅認(rèn)真地考慮安全問題。沒有安全經(jīng)驗(yàn)的程序員可以利用廣為使用的工具來創(chuàng)建更安全的產(chǎn)品。這樣能更容易地做正確的事。

　　我們還可以培養(yǎng)用戶的自我保護(hù)意識，教會他們該看哪些點(diǎn)來評估產(chǎn)品安全特性。雖然用戶常能體會到對隱私和安全的需要，其實(shí)沒幾個用戶能看出強(qiáng)安全性和騙人的萬靈油之間的差別。

　　美國保險商實(shí)驗(yàn)室剛剛放出了一份物聯(lián)網(wǎng)設(shè)備認(rèn)證，不過，至少目前，還不能在哪款產(chǎn)品上看到這一認(rèn)證。這枚顯眼的小戳將讓用戶在做購買決策時將安全納入考慮范圍。

　　通過考慮物聯(lián)網(wǎng)設(shè)備用戶和創(chuàng)造者的心理，我們可以拿出更好的方法，看出這些設(shè)備中哪些是PIoT的一部分，幫助改善IT生態(tài)系統(tǒng)的整體安全。

　　這些建議中沒有哪一條是萬靈藥，但基于思維方式的方法可以產(chǎn)生根本性的改善，不僅僅是對設(shè)備自身的安全性而言，也是對接入我們網(wǎng)絡(luò)的每樣?xùn)|西的安全性而言。而隨著我們踏入未來，物聯(lián)網(wǎng)將很快成為生活中必不可少的一部分。