美國國土安全部(Department of Homeland Security,DHS)于本周二(11/15)發(fā)表了《 保護(hù)物聯(lián)網(wǎng)策略準(zhǔn)則《Strategic Principles for Securing the Internet of Things)》1.0版,呼吁物聯(lián)網(wǎng)生態(tài)體系在設(shè)計(jì)、 生產(chǎn)及使用物聯(lián)網(wǎng)設(shè)備與系統(tǒng)時(shí)皆應(yīng)負(fù)起保障物聯(lián)網(wǎng)(IoT)安全的責(zé)任。
美國國土安全部長(zhǎng)Jeh Johnson指出, 大眾對(duì)連網(wǎng)技術(shù)的依賴程度已經(jīng)超出了保護(hù)范圍, 人們?nèi)找嫜鲑嚫鞣N連網(wǎng)活動(dòng),從自動(dòng)駕駛車到供水與供電的控制系統(tǒng),都讓物聯(lián)網(wǎng)成為國土安全的重要議題, 此一準(zhǔn)則將讓設(shè)備制造商進(jìn)行安全決策時(shí)有所依據(jù)。
該準(zhǔn)則的要點(diǎn)包括在設(shè)計(jì)時(shí)間就應(yīng)考慮安全問題、 改善安全更新與漏洞管理機(jī)制、建立可靠的安全作法、以安全為優(yōu)先任務(wù)、推動(dòng)物聯(lián)網(wǎng)IoT生態(tài)體系的透明化,以及謹(jǐn)慎連結(jié)等。 以督促企業(yè)從開發(fā)、生產(chǎn)、 導(dǎo)入及使用物聯(lián)網(wǎng)等各階段都能確保安全性。
此外,在本周一場(chǎng)有關(guān)物聯(lián)網(wǎng)IoT安全性的美國會(huì)公聽會(huì)上,也有一些安全專家呼吁政府應(yīng)立法保障物聯(lián)網(wǎng)IoT安全。 專精于醫(yī)療照護(hù)網(wǎng)絡(luò)安全的Virta Labs執(zhí)行官Kevin Fu即說,現(xiàn)在物聯(lián)網(wǎng)IoT安全正處于一個(gè)令人感到難過的階段, 因?yàn)樯a(chǎn)及部署不安全物聯(lián)網(wǎng)IoT設(shè)備的企業(yè)幾乎不需要負(fù)擔(dān)任何責(zé)任。
哈佛大學(xué)網(wǎng)絡(luò)生態(tài)研究中心Berkman Klein Center研究員Bruce Schneier則說, 讓此一局面得以維持的原因是不管制造商或是消費(fèi)者都不在乎物聯(lián)網(wǎng)IoT 的安全性,因此需要政府介入。 Schneier甚至提議政府應(yīng)設(shè)立一個(gè)全新的機(jī)構(gòu)來強(qiáng)制執(zhí)行物聯(lián)網(wǎng)I oT法令。
缺乏安全與更新機(jī)制讓物聯(lián)網(wǎng)IoT設(shè)備近來逐漸成為殭尸網(wǎng)絡(luò)的主力, 例如根據(jù)Level 3威脅研究中心的統(tǒng)計(jì), Mirai殭尸病毒感染近50萬臺(tái)物聯(lián)網(wǎng)IoT設(shè)備, 而Bashlight殭尸病毒則感染超過96萬臺(tái)的物聯(lián)網(wǎng)IoT設(shè)備, 其中的Mirai更是今年9月及10月發(fā)動(dòng)分布式阻斷服務(wù)( DDoS)攻擊, 癱瘓KrebsOnSecurity安全部落格、攻擊網(wǎng)站代管服務(wù)供貨商OVH與美國網(wǎng)絡(luò)效能管理公司Dyn旗下 DNS服務(wù)的元兇。