昨日,“國(guó)民老公”王思聰發(fā)微博稱,“前兩天才詭異呢,我在jd上買個(gè)組裝機(jī),第三方也不知道是腦子秀逗了還是怎么了,把我私人信息截圖給發(fā)微博上了,京東也沒給個(gè)說法”。對(duì)此,京東致歉并表示,一直高度重視客戶信息的保護(hù),對(duì)于違反規(guī)定的行為進(jìn)行嚴(yán)厲處罰。同時(shí),京東會(huì)致力于持續(xù)改進(jìn)對(duì)第三方平臺(tái)商家的管理工作,與第三方商家一起努力提升用戶體驗(yàn)。
一件不起眼的“小事”,卻折射出當(dāng)今物聯(lián)網(wǎng)安全的大問題。物聯(lián)網(wǎng)帶給人便利生活,給人帶來無限的遐想,極大地提升我們的生活品質(zhì),但隨之而來的安全問題同樣值得警惕。在當(dāng)今時(shí)代,汽車變成了有輪子的電腦;糖尿病患者也會(huì)佩戴電腦化的胰島素泵,將他們的生命體征隨時(shí)發(fā)送給醫(yī)生;智能恒溫器能了解房主的習(xí)慣,適時(shí)調(diào)整房間的溫度。
但有利必有弊,越來越多的人開始借助互聯(lián)網(wǎng)散播病毒、蠕蟲和各種各樣的惡意軟件。一些懷疑者擔(dān)心,黑客可能控制汽車,故意制造車禍;還有可能讓胰島素泵失效,謀殺糖尿病患者;甚至能根據(jù)某人家中的用電情況推測(cè)家中無人,實(shí)施入室盜竊。物聯(lián)網(wǎng)蘊(yùn)含的種種不安全因素都有可能瞬間擊碎人們對(duì)烏托邦的美好暢想。
潛在威脅
Gartner最新報(bào)告結(jié)果顯示,預(yù)計(jì)在2020年將會(huì)有超過250億個(gè)連接互聯(lián)網(wǎng)的裝置,而物聯(lián)網(wǎng)更會(huì)為全球帶來接近15.5兆經(jīng)濟(jì)效益。由此可見,物聯(lián)網(wǎng)將變得甚為龐大,同時(shí)更影響所有人的生活。市場(chǎng)上已充滿著建構(gòu)物聯(lián)網(wǎng)的智能裝置。不論是智能家居電器、智能汽車或是各式各樣的穿戴式裝置,所有裝置都可連接至網(wǎng)絡(luò),輕易地從中獲得資訊,帶來前所未見的便利。
由于各項(xiàng)裝置會(huì)連上網(wǎng)路,除了手機(jī)、家電、汽車以外,醫(yī)療器材也會(huì)導(dǎo)入,這讓物聯(lián)網(wǎng)更加容不得錯(cuò)誤。然而,新的威脅已經(jīng)悄然逼近,黑客和安全人員已經(jīng)從技術(shù)上證明了這種威脅的可能性。例如,黑客入侵醫(yī)療設(shè)備,更改個(gè)人數(shù)據(jù)以及醫(yī)療方案等。汽車同樣易受攻擊。已經(jīng)有多位研究人員展示了相關(guān)的攻擊技術(shù),可以導(dǎo)致制動(dòng)和動(dòng)力轉(zhuǎn)向系統(tǒng)失效。如今,智能設(shè)備為惡意軟件編寫者創(chuàng)造了絕佳的機(jī)會(huì),物聯(lián)網(wǎng)安全問題日益嚴(yán)重。
物聯(lián)網(wǎng)的興起讓惡意份子的攻擊目標(biāo)從傳統(tǒng)的網(wǎng)頁漏洞與應(yīng)用程式漏洞,轉(zhuǎn)移成竊取智慧連網(wǎng)裝置資料與控制權(quán)、破解車載系統(tǒng)漏洞與入侵醫(yī)療設(shè)備儀器等。換言之,惡意分子只要能滲透智慧手機(jī)、智慧家電或者是連網(wǎng)裝置,便能竊取機(jī)密資料、取得控制權(quán),甚至是脅持這些連網(wǎng)裝置發(fā)動(dòng)更大規(guī)模的攻擊。更重要的是,幾乎不可能憑借既有的資訊安全防護(hù)機(jī)制與設(shè)備,就能夠防堵伴隨物聯(lián)網(wǎng)應(yīng)用而生的安全攻擊。
解決之道
之所以出現(xiàn)這些問題,一定程度上源自很多新型電子設(shè)備制造商在電腦安全領(lǐng)域缺乏經(jīng)驗(yàn)。然而,IT企業(yè)都明白,要編寫絕對(duì)安全的代碼幾乎是不可能完成的任務(wù),所以開放就是最好的防御。但有些公司仍然持抗拒態(tài)度。IT行業(yè)早就認(rèn)識(shí)到,這類“白帽黑客”是他們的朋友,而非敵人,因此經(jīng)常為這種善意的漏洞挖掘者提供物質(zhì)獎(jiǎng)勵(lì),以便及時(shí)修復(fù)問題。然而,當(dāng)前的困難在于,相關(guān)企業(yè)沒有多少動(dòng)力來充分重視安全問題。這有點(diǎn)像1990年代的互聯(lián)網(wǎng),彼時(shí)的多數(shù)威脅還沒有真正浮現(xiàn)出來,所以在安全問題上的不足暫時(shí)不會(huì)對(duì)企業(yè)的聲譽(yù)和利潤(rùn)產(chǎn)生影響。這一趨勢(shì)遲早會(huì)改變,尤其是在可能因?yàn)榘踩┒礃?gòu)成嚴(yán)重后果的行業(yè)。
值得特別注意的是,智慧連網(wǎng)裝置開發(fā)商若能在產(chǎn)品研發(fā)之初,便考量產(chǎn)品安全性問題,便能極大程度的減少產(chǎn)品安全漏洞。業(yè)者必須要確保裝置設(shè)計(jì)具有安全機(jī)制;其次,App遠(yuǎn)端遙控裝置的過程具有高度安全;最后,也要能有監(jiān)控異常活動(dòng)的機(jī)制,進(jìn)行測(cè)試并防堵資安攻擊。
有鑒于此,建議使用者、企業(yè)、教育機(jī)構(gòu)與政府單位在導(dǎo)入物聯(lián)網(wǎng)應(yīng)用前,先充分了解物聯(lián)網(wǎng)安全風(fēng)險(xiǎn),逐步完善在終端裝置、通訊網(wǎng)路與后端平臺(tái)的安全防護(hù)機(jī)制,例如落實(shí)身分識(shí)別與確認(rèn)授權(quán)機(jī)制、透過加密機(jī)制確保資料傳輸?shù)陌踩?、確認(rèn)應(yīng)用服務(wù)沒有安全漏洞,以及定期安全掃描與即時(shí)監(jiān)控等方式確認(rèn)終端裝置沒有被滲透或者是安裝任何惡意程式。