物聯(lián)網(wǎng)安全和隱私需要考慮的三個(gè)問(wèn)題

　　物聯(lián)網(wǎng)的安全需要一個(gè)與以網(wǎng)絡(luò )為中心的“傳統”IT安全完全不同的方法。

　　連接更多的事物改變了我們安全的方式。隨著(zhù)人，物，基礎設施和物理世界的環(huán)境日益變得更加數字化，安全方法需要一個(gè)轉變，即從IT安全架構向物聯(lián)網(wǎng)安全體系結構的轉變。

　　企業(yè)必須考慮許多根本性的轉變，成功地過(guò)渡到這種新的架構和思維方式。并需要開(kāi)始理解為什么物聯(lián)網(wǎng)的安全性是不同于“傳統”的IT安全，在任何行業(yè)所有類(lèi)型的組織，應該開(kāi)始考慮三個(gè)關(guān)鍵問(wèn)題：

　　問(wèn)題1：我們在試圖保護什么？

　　就其本質(zhì)而言，物聯(lián)網(wǎng)不是單一的技術(shù)，一個(gè)業(yè)務(wù)單位或一個(gè)垂直行業(yè)。更確切地說(shuō)，在企業(yè)或消費者環(huán)境中部署和連接設備、對象或基礎設施，本質(zhì)上意味著(zhù)多個(gè)端點(diǎn)之間的連接。任何連接的應用，無(wú)論是一個(gè)在家庭連接的溫控器還是用于風(fēng)力渦輪機的傳感器，這其中包括一些配置的設備，應用程序，網(wǎng)絡(luò )，當然也包括人員。

　　當面臨表面的威脅時(shí)（即潛在的脆弱性的景觀(guān)），組織必須評估風(fēng)險的“物聯(lián)網(wǎng)安全堆棧”，這些領(lǐng)域不只是技術(shù)系統組件，而且還包括參與系統的人和組織內部，以及合作伙伴。

　　雖然設備、應用程序和網(wǎng)絡(luò )（技術(shù)）安全是維護任何連接事物的核心，人員安全的另一個(gè)重要方面卻往往被忽視。密碼安全、BYOD環(huán)境、員工流失、缺乏安全培訓、簡(jiǎn)單的人為錯誤，在任何系統中呈現人員動(dòng)態(tài)也是諸多風(fēng)險之一。請記住，物聯(lián)網(wǎng)的系統安全取決于其最薄弱的端點(diǎn)。使人們有助于增強安全性。

　　物聯(lián)網(wǎng)安全協(xié)議堆棧

　　要了解在安全保護最充分的情況下，需要采取組織全面清查，不只是其專(zhuān)有的終端點(diǎn)，設備和系統，還有所有相關(guān)聯(lián)的設備，應用，網(wǎng)絡(luò )，用戶(hù)和支持者。而“我們在保護什么？”的出發(fā)點(diǎn)是：

　　1.確定這個(gè)生態(tài)系統

　　2.確定傳感器和數據如何添加到產(chǎn)品或基礎設施中，并將數據收集到一個(gè)生態(tài)系統中。

　　這是制定安全戰略關(guān)鍵的第一步

　　問(wèn)題2：如果我們的“智能”系統被攻破，會(huì )發(fā)生什么？

　　在緊急的情況下，會(huì )發(fā)生什么？如今，許多人和許多企業(yè)都沒(méi)有任何想法，不管是正式的還是分布式計劃，，他們應該發(fā)現自己在數據，系統或人身安全緊急情況，違約，黑客或其他妥協(xié)時(shí)發(fā)生的事情。企業(yè)內部有明確的意義：

　　·威脅表面是什么

　　·與技術(shù)和系統組件相關(guān)聯(lián)的地方在哪里

　　·實(shí)際的威脅是什么

　　·可能產(chǎn)生威脅的地方

　　·如何來(lái)緩解這些威脅

　　·當問(wèn)題發(fā)生時(shí)如何鑒別

　　·合作伙伴被泄露時(shí)如何對事件做出響應

　　·如何阻止，分析，分類(lèi)和溝通的問(wèn)題

　　他們對于外部通信有關(guān)數據相關(guān)的危機還應該有一個(gè)正式的計劃，這其中包括合作伙伴和媒體，最重要的是客戶(hù)和終端用戶(hù)。

　　作為安全從業(yè)人員，其計劃是什么？他們必須認識到物聯(lián)網(wǎng)的安全性要求，同時(shí)應對傳統和新興的安全的多方面的挑戰。首先，組織必須滿(mǎn)足傳統的安全挑戰與傳統的架構和環(huán)境。接下來(lái)，他們必須解決當前一代的技術(shù)，云特征，社會(huì )和移動(dòng)的挑戰。最后，隨著(zhù)新技術(shù)的出現，計算的交互和界面擴散，這些因素相互作用推動(dòng)全新的經(jīng)濟體的發(fā)展，企業(yè)有義務(wù)竭盡所能試圖解決這種數字化的意外事件以及未知的后果。

　　問(wèn)題3：個(gè)人身份信息意味著(zhù)什么？

　　幾乎每一個(gè)連接的環(huán)境都涉及到一些個(gè)人身份信息的元素，也被稱(chēng)為PII。如果沒(méi)有數據傳輸，則數據集成。但在物聯(lián)網(wǎng)的安全性和隱私的思考，需要人們重新考慮個(gè)人身份信息的組成。

　　在Web2世界中的PII的定義還要有一些澄清。在NIST特別公開(kāi)的800-122定義為“個(gè)人的PII的代理維護的任何信息，包括（1）可用于識別或跟蹤一個(gè)人身份的任何信息，如姓名，社會(huì )安全號碼，出生日期和地點(diǎn)，母親的婚前姓名或生物記錄;以及（2）其他任何鏈接或鏈接到的個(gè)人信息，如醫療、教育、金融和就業(yè)的信息。”

　　當我們超越了筆記本電腦和數字化的對象和環(huán)境，我們將從不同的環(huán)境中整合不同的貨幣化數據集，而“個(gè)人身份”可能是遠不如黑與白那么簡(jiǎn)單。

　　可以明確的是，傳感技術(shù)的架構來(lái)自于感測物理的現實(shí)：位置，加速度，溫度，心率，濕度，聲音，光線(xiàn)，位置……這樣的例子不勝枚舉。而當這些數據輸入時(shí)，可能從中看出許多問(wèn)題。

　　Fitbit公司可以跟蹤步驟和心率產(chǎn)生數據，顯示其用戶(hù)的活動(dòng)方式，例如。該公司很快就做出了這樣的數據，最初默認設置為公開(kāi)的。

　　不管穿越時(shí)空的個(gè)人的運動(dòng)和活動(dòng)“鏈接或可鏈接”是否清楚，無(wú)論是在法律面前，還是在那些收集數據的目光之下，人們并不清楚最終用戶(hù)生成的數據：

　　·家庭住址的來(lái)往人員的個(gè)人身份？

　　·個(gè)人的開(kāi)車(chē)的方式識別個(gè)人身份？

　　·對生物刺激的反應的個(gè)人身份識別？

　　廣告商，保險公司，制造商，零售商和雇主都爭先恐后地爭取盡可能多的經(jīng)驗背景，但在這里人們能用技術(shù)限制人類(lèi)的情感嗎？

　　雖然沒(méi)有一個(gè)組織能夠明確地回答這些問(wèn)題，每一個(gè)方面，它是在分析中使用的情況下產(chǎn)生這樣的數據，以及如何管理和保護這些數據的含義的最佳利益。在數據泄漏，數據醫療事故或相關(guān)危機的情況下，這種規劃和文件將有助于企業(yè)在法庭上有更好的表現。由于企業(yè)爭相收集盡可能多的數據，他們必須考慮這些數據的收集和應用和集成數據所造成的意外和后果。

　　問(wèn)題反映了需要一個(gè)新的物聯(lián)網(wǎng)安全方法現實(shí)

　　有各種各樣的資源組織可以訪(fǎng)問(wèn)，以幫助這些問(wèn)題，但對物聯(lián)網(wǎng)安全的方法會(huì )有所不同。為了幫助尋求真正安全的“智能系統”，Harbo研究機構已經(jīng)制定了三個(gè)步驟來(lái)指導組織在其方法物聯(lián)網(wǎng)的安全性。

　　雖然上述問(wèn)題是一個(gè)物聯(lián)網(wǎng)的安全策略中，人們可能已經(jīng)猜到他們遠離容易回答的復選框。企業(yè)必須首先評估現有的基礎設施，目前的發(fā)展舉措（包括產(chǎn)品，過(guò)程和人），并為這些大型企業(yè)調整安全和隱私保護戰略。

　　具有前瞻性的物聯(lián)網(wǎng)安全策略將從產(chǎn)品設計開(kāi)始，而像物聯(lián)網(wǎng)本身一樣，他們將在產(chǎn)品、服務(wù)、利益相關(guān)者、客戶(hù)細分、威脅向量和生命周期等方面進(jìn)行超越。