物聯(lián)網(wǎng)安全是意識問(wèn)題不是技術(shù)問(wèn)題

　　創(chuàng )造者和用戶(hù)經(jīng)常默認這些設備不會(huì )、不能也不必要被好好維護。他們對用戶(hù)不可見(jiàn)，也不提供接口或界面來(lái)進(jìn)行管理。

　　聯(lián)網(wǎng)汽車(chē)是個(gè)有趣的例子，完美闡述了某個(gè)單一的東西是怎么成為物聯(lián)網(wǎng)安全問(wèn)題的。大多數現代汽車(chē)都會(huì )有很多不同的網(wǎng)絡(luò )，包括一個(gè)控制器局域網(wǎng)(CAN)總線(xiàn)、手機匹配藍牙和無(wú)線(xiàn)輪胎壓力傳感器。有些汽車(chē)甚至還有像安吉星 (OnStar)這樣的蜂窩連接。但是連入這些網(wǎng)絡(luò )的操作系統，直到最近才具備了自動(dòng)更新的能力。之前，想要對受影響的車(chē)輛進(jìn)行軟件升級和打補丁，都必須將車(chē)輛召回才行。用戶(hù)沒(méi)有為車(chē)輛網(wǎng)絡(luò )和計算機的安全買(mǎi)單義務(wù)。

　　不過(guò)，最近有些廠(chǎng)家已經(jīng)能夠進(jìn)行車(chē)輛軟件的自動(dòng)升級了。比如說(shuō)，特斯拉。這家電動(dòng)車(chē)領(lǐng)軍企業(yè)，從一開(kāi)始就將網(wǎng)絡(luò )安全放在了首位。除了在設計階段考慮安全，還提供經(jīng)常性的無(wú)線(xiàn)補丁和更新。一輛特斯拉汽車(chē)，就是一臺主動(dòng)管理和維護的設備。從心理視角，沒(méi)人會(huì )認為自家車(chē)庫里的特斯拉會(huì )是個(gè)PIoT設備。

　　但另一方面，其他車(chē)輛，那些從未托管，從未維護，從未打補丁的汽車(chē)，則落入了PIoT的范疇。有趣的是，隨著(zhù)近年來(lái)對汽車(chē)黑客活動(dòng)的關(guān)注，董事會(huì )層面上車(chē)輛網(wǎng)絡(luò )安全的價(jià)值倒是越來(lái)越被認可，只是要讓用戶(hù)轉化到新的車(chē)輛安全設計上可能要花去不短的時(shí)間。

　　為分析設備是否歸屬PIoTa范疇，我們可以將它們放到以設備創(chuàng )造者安全意識和終端用戶(hù)感知安全價(jià)值為坐標軸的二維空間里。

　　當創(chuàng )造者和用戶(hù)理解安全的重要性，IoT問(wèn)題就會(huì )變少。這些設備會(huì )被謹慎設計，方便管理，通常也不會(huì )成為PIoT的一部分。至于其他3個(gè)象限，遭遇問(wèn)題簡(jiǎn)直是必須的。

　　如果用戶(hù)不渴求安全，設備中就很有可能摘除安全性——即使創(chuàng )造者知道安全的重要性。如果用戶(hù)需求安全，而創(chuàng )造者沒(méi)理會(huì )這一需求，那么安全將會(huì )跟個(gè)創(chuàng )可貼似的直到成品的最后一刻才松松垮垮地貼到產(chǎn)品上，不過(guò)是給用戶(hù)造成一種受到保護的假象而已，能賣(mài)出去就好。

　　而當用戶(hù)和創(chuàng )造者都不關(guān)心安全，那就真是絕望了。創(chuàng )造者對安全會(huì )連個(gè)眼神都欠奉。我們在智能燈泡之類(lèi)的物聯(lián)網(wǎng)設備中所看到的就是這種景象，而這些被忽視的小設備往往會(huì )帶來(lái)新的漏洞。

　　想改善現狀，有幾條建議可用。激勵措施(或懲罰措施)能鼓勵創(chuàng )造者在設計產(chǎn)品時(shí)更嚴肅認真地考慮安全問(wèn)題。沒(méi)有安全經(jīng)驗的程序員可以利用廣為使用的工具來(lái)創(chuàng )建更安全的產(chǎn)品。這樣能更容易地做正確的事。

　　我們還可以培養用戶(hù)的自我保護意識，教會(huì )他們該看哪些點(diǎn)來(lái)評估產(chǎn)品安全特性。雖然用戶(hù)常能體會(huì )到對隱私和安全的需要，其實(shí)沒(méi)幾個(gè)用戶(hù)能看出強安全性和騙人的萬(wàn)靈油之間的差別。

　　美國保險商實(shí)驗室剛剛放出了一份物聯(lián)網(wǎng)設備認證，不過(guò)，至少目前，還不能在哪款產(chǎn)品上看到這一認證。這枚顯眼的小戳將讓用戶(hù)在做購買(mǎi)決策時(shí)將安全納入考慮范圍。

　　通過(guò)考慮物聯(lián)網(wǎng)設備用戶(hù)和創(chuàng )造者的心理，我們可以拿出更好的方法，看出這些設備中哪些是PIoT的一部分，幫助改善IT生態(tài)系統的整體安全。

　　這些建議中沒(méi)有哪一條是萬(wàn)靈藥，但基于思維方式的方法可以產(chǎn)生根本性的改善，不僅僅是對設備自身的安全性而言，也是對接入我們網(wǎng)絡(luò )的每樣東西的安全性而言。而隨著(zhù)我們踏入未來(lái)，物聯(lián)網(wǎng)將很快成為生活中必不可少的一部分。