物联网供应商集体表示,目前物联网安全可谓一团糟

  

 

  一个由微软、赛门铁克、Verisign、ADT以及TRUSTe等多位成员组成的厂商机构认为,目前的物联网(简称IoT)市场虽然发展态势一路向好,但却并没有对安全水平或者用户隐私给予足够的关注。

  为了能将这类被初创企业所严重忽视的安全性考量元素切实纳入到Alphabet的Nest业务当中,这个名为网络信任联盟(简称OTA)正在积极寻求能够帮助物联网方案解决隐私保护与内容信任难题的框架选项。

  薄弱的保护体系以及糟糕的实现方式使得目前的物联网安全实在看不到任何前景与希望。网络信任联盟表示,如果相关产品制造商不作出改变、服务项目也继续也漫不经心的态度对待安全风险,那么这种负面状况将永远得不到扭转。

  通过这套框架的公布,网络信任联盟希望能够帮助物联网市场不再重蹈覆辙——也就是在安全考量中忽视产品生命周期这一重要因素。

  “可持续性——也就是设备在生命周期当中的受支持能力以及售后服务到期后的数据保护能力——对于全球范围内的普通用户及企业客户而言,都是保障安全、隐私以及个人信息的重要前提,”框架声明作出了这样的解读。

  换句话来说,相关厂商无法在售后服务到期或者随意设定报废日期,并在此后直接将用户抛在一边。如果其中出现某项安全漏洞(而厂商又仍然没有倒闭的话),那么其必须得到修复。

  Windows 10在闪亮登场的同时也带来了权限滥用的问题,其在默认状态下支持Wi-Fi密码共享。反对者可能会对网络信任联盟就物联网服务透明度所作出的呼吁大加嘲笑,但这也正是该机构的核心主旨。该联盟主席兼执行董事Craig Spiezle强调称,健康状况追踪装置、智能家居、智能电视以及智能电网体系都面临着严重的潜在风险。

  那么,这份文件到底包含有哪些内容?

  这份题为《物联网信任框架草案》的文件指出,安全与隐私应当成为“产品开发之初即受到认真对待的优先考量因素,同时得到全面解决。”

  这份框架还包含有以下几项基本要求:

  全面公开隐私政策——要求客户能够在着手购买产品之前,轻松查阅到其需要了解的隐私政策,从而据此作出选择或者放弃购买产品或服务的决定。

  保证隐私政策的可读性——网络信任联盟指出,其中包括利用用户界面设计显示相关政策。由于家居传感器或者健康状况追踪装置往往不具备用户界面,因此相关厂商应当保证在其它设备之上明确显示隐私政策内容。

  向用户公开所收集之数据类型——或者如框架文件当中所言,“设备制造商必须明确披露其产品所能收集到的全部个人身份识别数据类型及属性。”

  物联网产品厂商须明确数据共享机制——数据应当只共享给同意并遵循保密协议的第三方机构,且只面向受限用途使用。

  明确告知客户其个人数据的保有时长。

  其它建议还包括强制要求用户更改设备的默认密码;个人数据应当在闲置或者传输过程中进行加密或者散列化处理;在数据从物联网装置发送至服务器端时,应当遵循SSL最佳实践;HTTPS必须成为所有设备进行服务器通信时的默认选项。

  我们也欣慰地注意到,相关建议还包括告知用户哪些数据会被存储在云环境当中,提醒用户在智能设备断开联网或者某些智能选项被禁用时、哪些功能将会受到影响;而相关厂商应当确保匿名数据不可被重新认定。

 

  类似的条款还有很多,这一切都让我们确切了解到网络信任联盟的诉求及其存在意义。不过话说回来,物联网产品厂商到底吃不吃这一套还是个问题,我们只能静待时间给出答案。