作者:山迪·沃瑪 AT&T亞太區(qū)物聯(lián)網(wǎng)戰(zhàn)略與解決方案高級總監(jiān)
網(wǎng)絡(luò)安全已經(jīng)是許多公司董事會的首要議程,但物聯(lián)網(wǎng)(IOT)發(fā)展的規(guī)模和范圍導(dǎo)致了安全風(fēng)險的迅速升級,相比以往,企業(yè)高管需要付出更大努力來保護(hù)他們的企業(yè)。
物聯(lián)網(wǎng)(IOT)的迅速崛起為組織提供了提高內(nèi)部效率、更好地服務(wù)客戶、進(jìn)入新市場甚至建立新商業(yè)模式的巨大機(jī)遇。從醫(yī)療保健到能源、汽車、制造和物流等行業(yè),都已被物聯(lián)網(wǎng)所改變,而未來,幾乎每個行業(yè)也都將很快感受到其影響。
這也將對網(wǎng)絡(luò)安全問題產(chǎn)生重要影響?;ヂ?lián)設(shè)備的浩繁規(guī)模大大增加了網(wǎng)絡(luò)安全的整體復(fù)雜性,而整個物聯(lián)網(wǎng)生態(tài)系統(tǒng)將這些挑戰(zhàn)進(jìn)一步放大。
根據(jù)AT&T的物聯(lián)網(wǎng)安全現(xiàn)狀調(diào)查,只有10%的回復(fù)者對自己互聯(lián)設(shè)備的安全性完全有信心,只有12%的人對商業(yè)伙伴設(shè)備的安全性非常有信心。如今的CEO所面對的問題不是如何說服董事會相信風(fēng)險的真實(shí)存在,而是識別威脅,設(shè)計和執(zhí)行緩解措施,對風(fēng)險防范進(jìn)行充分溝通,來贏得董事會的全力支持。
風(fēng)險在哪里?
在最基礎(chǔ)層面上,大量已經(jīng)啟用了物聯(lián)網(wǎng)的車輛、工廠設(shè)備和其他設(shè)備,并沒有充分考慮到互聯(lián)網(wǎng)連接或安全性。留下了很多弱點(diǎn),讓黑客和其他網(wǎng)絡(luò)犯罪分子進(jìn)入企業(yè)網(wǎng)絡(luò)有了可乘之機(jī)。在過去的兩年中,AT&T的安全運(yùn)營中心對物聯(lián)網(wǎng)設(shè)備的漏洞掃描增加了458%。
此外,許多物聯(lián)網(wǎng)設(shè)備沒有得到正確監(jiān)控。近一半的AT&T的調(diào)查回復(fù)者承認(rèn),他們僅僅能大致估計連接設(shè)備的數(shù)量;只有38%使用設(shè)備管理系統(tǒng)或軟件來識別互聯(lián)的設(shè)備,只有14%采取了正式的審計流程。
隨著物聯(lián)網(wǎng)設(shè)備架起了數(shù)字和物理世界的橋梁,安全挑戰(zhàn)也開始增加。成千上萬的物聯(lián)網(wǎng)設(shè)備已經(jīng)控制了實(shí)體的基礎(chǔ)設(shè)施,如生產(chǎn)線、供應(yīng)鏈和電廠,以及飛機(jī)和汽車。例如,在物聯(lián)網(wǎng)汽車上,傳感器收集性能數(shù)據(jù)來監(jiān)控維修計劃,解決故障,并分析汽車使用情況。其他傳感器搭配語音控制和移動應(yīng)用程序,提供了諸如導(dǎo)航和信息娛樂等各種新功能。
從企業(yè)層面來看,任何數(shù)據(jù)泄露都會嚴(yán)重?fù)p害到企業(yè)的股票價格、市場地位和聲譽(yù)。當(dāng)你的物聯(lián)網(wǎng)如果同時存在人身安全風(fēng)險,不管多么小,代價都會很高。這大大提高了你的信息安全戰(zhàn)略的復(fù)雜程度。
我們?nèi)绾螒?yīng)對?
考慮到風(fēng)險之高,安全必須成為物聯(lián)網(wǎng)開發(fā)和部署的基石,而不是放在最后來做。
首先,首席執(zhí)行官必須確保安全專家從物聯(lián)網(wǎng)開發(fā)最早期就介入。從一開始就構(gòu)建起物聯(lián)網(wǎng)設(shè)備及網(wǎng)絡(luò)的安全性保護(hù)不斷擴(kuò)大的物聯(lián)網(wǎng)基礎(chǔ)設(shè)施的關(guān)鍵。這意味著多層的安全管控,從加密到保護(hù)核心業(yè)務(wù)功能。這也意味著設(shè)計出合適的架構(gòu)來限制連接系統(tǒng)之間相互依賴。
在物聯(lián)網(wǎng)汽車的例子中,關(guān)鍵的安全系統(tǒng)和發(fā)動機(jī)控制單元可以分離,這樣就無法通過信息娛樂和通信系統(tǒng)侵入這些關(guān)鍵系統(tǒng)。
其次,公司董事會和最高管理人員可能需要修改現(xiàn)有的網(wǎng)絡(luò)安全政策和制度,以適應(yīng)新的物聯(lián)網(wǎng)戰(zhàn)略。在任何情況下,物聯(lián)網(wǎng)戰(zhàn)略都必須緊密地與更廣泛的企業(yè)信息和業(yè)務(wù)策略整合。你要采取措施及時修復(fù)和更新軟件和固件,并實(shí)施控制,來及時識別和遏制安全漏洞。
為了保證有效性,這種整體安全策略需要囊括整個物聯(lián)網(wǎng)生態(tài)系統(tǒng),不只是你自己的設(shè)備、數(shù)據(jù)和應(yīng)用程序,還有你的合作伙伴和客戶的設(shè)備、數(shù)據(jù)和應(yīng)用程序。在工業(yè)環(huán)境中,物聯(lián)網(wǎng)傳感器、執(zhí)行器和其他設(shè)備的監(jiān)控和控制機(jī)制要提高工作效率,將意味著在整個生態(tài)系統(tǒng)中建立認(rèn)證和授權(quán)控制機(jī)制。
成功青睞有準(zhǔn)備者
物聯(lián)網(wǎng)及其安全后果之巨大,使得企業(yè)在新設(shè)備開發(fā)出來前考慮其安全需求顯得至關(guān)重要。責(zé)任明確、統(tǒng)一的安全流程和自上而下的物聯(lián)網(wǎng)安全管理非常必要,這樣才能防患于未然,并有效應(yīng)對無可規(guī)避的攻擊。執(zhí)行團(tuán)隊(duì)和董事會成員的關(guān)注和參與是物聯(lián)網(wǎng)戰(zhàn)略成功的強(qiáng)有力信號
山迪·沃瑪
Sandy Verma是AT&T亞太區(qū)物聯(lián)網(wǎng)戰(zhàn)略與解決方案高級總監(jiān)。AT&T的全球物聯(lián)網(wǎng)業(yè)務(wù)提供了業(yè)界領(lǐng)先的機(jī)器對機(jī)器(M2M)創(chuàng)新方案配套服務(wù),具備全球連通、應(yīng)用投送平臺、垂直戰(zhàn)略的特點(diǎn)——由專業(yè)服務(wù)和咨詢業(yè)務(wù)支持的建立世界級的大規(guī)模變革(即改變?nèi)祟惿a(chǎn)生活方式)。
基于香港分部,Sandy在無線產(chǎn)業(yè)有著十多年的動態(tài)跟蹤記錄。他一直身處移動方案發(fā)展的前沿,包括數(shù)字化改革、3G和4G的發(fā)布、智能手機(jī)興起和互聯(lián)網(wǎng)設(shè)備時代。2001年Sandy入職美國AT&T集團(tuán),引入了他在戰(zhàn)略管理、企業(yè)解決方案、產(chǎn)品和市場創(chuàng)新、整合云系統(tǒng)、VPN和網(wǎng)絡(luò)安全方案的經(jīng)驗(yàn)。Sandy從克萊蒙特大學(xué)德魯克管理研究生院和牛津大學(xué)取得工商管理碩士學(xué)位和國際貿(mào)易碩士學(xué)位。他也曾參與南加州大學(xué)信息技術(shù)管理學(xué)院的高管管理課程。