Nest安全隱私部門負(fù)責(zé)人:把安全和隱私保護(hù)寫進(jìn)每一個產(chǎn)品的骨子里

責(zé)任編輯:editor007

作者:熊蒙

2016-05-03 22:32:08

摘自:雷鋒網(wǎng)

如果你正在使用Nest智能家居產(chǎn)品,那么不管你在家或在外,你的家都能自動接收你的調(diào)教,還能乖乖地自動操作。

如果你正在使用Nest智能家居產(chǎn)品,那么不管你在家或在外,你的家都能自動接收你的調(diào)教,還能乖乖地自動操作。如果你身在家中,那么Nest恒溫器可以自動調(diào)低暖氣熱度來為你省錢;如果你出門在外,你的Nest Cam可以開始監(jiān)控整個房子,Nest Protect煙霧警報器會隨時發(fā)出警報,以防不速之客。

但是這就意味著你必須相信Alphabet公司的云平臺。毫無疑問,這些與你住的房子相關(guān)的數(shù)據(jù)較為敏感。因此,2010年,有一個專門收集用戶在家之外的地方登陸社交網(wǎng)的數(shù)據(jù)的網(wǎng)站,取了個名叫做”Please Rob Me(搶劫我吧)”。

這就是為何Nest的高管們都說:在Nest一切產(chǎn)品的設(shè)計(jì)之初,都會將安全和隱私考慮入內(nèi)。

Nest安全和隱私部門副主席Jim Alkove說:“我們開始設(shè)計(jì)產(chǎn)品時,就會將安全性能看成是產(chǎn)品價值的一部分。”

同時,據(jù)Nest平臺和Works With Nest第三方產(chǎn)品項(xiàng)目的產(chǎn)品經(jīng)理Greg Hu透露:在研發(fā)設(shè)計(jì)每一項(xiàng)功能時,公司產(chǎn)品團(tuán)隊(duì)會這樣考慮:該功能安全嗎?它能解決什么用戶問題?如何確保用戶會信任它?Nest會做用戶調(diào)查,以此來確保用戶可以理解產(chǎn)品,信任產(chǎn)品的安全性。

Hu補(bǔ)充道:“當(dāng)我們設(shè)計(jì)某項(xiàng)功能時,我們想確保產(chǎn)品對于顧客的透明性,這樣他們才會放心將數(shù)據(jù)以正確的方式上傳。”

例如,公司最近開發(fā)了一種新的家庭賬號功能,讓那些同居的人加入一個組群,一起控制他們的房子,若有成員加入或移除組群,Nest會通知每一位組員。

當(dāng)其他公司的產(chǎn)品想通過Nest項(xiàng)目連接Nest設(shè)備,Nest要求他們解釋加入Nest數(shù)據(jù)的原因。

Hu說:“現(xiàn)在,顧客已經(jīng)習(xí)慣授權(quán)app,從賬號或設(shè)備中連接數(shù)據(jù),但是他們希望Nest解釋為什么這種授權(quán)是必要的。”

Nest有時也限制了可以控制個人設(shè)備的界面:例如,Nest即將推出Nest-enabled Yale lock,用戶可以用手機(jī)app,而不是網(wǎng)頁界面來開門。“相對于看得見摸不著的網(wǎng)頁來說,手機(jī)是看得見摸得著的實(shí)體,用戶能夠隨身攜帶。”Hu解釋到。

Hu現(xiàn)在正在致力于開發(fā)Nest家庭助手平臺,它能跟蹤用戶手機(jī)的定位數(shù)據(jù),當(dāng)用戶在家或在外時,此功能跟蹤的數(shù)據(jù)比直接從Nest設(shè)備收集的數(shù)據(jù)要精確。

每當(dāng)有智能手機(jī)連接或離開Nest家庭中心,該平臺就能進(jìn)行監(jiān)控,還能使用機(jī)器學(xué)習(xí)技術(shù)或是跟蹤用戶過去行動。 Hu拒絕透露此平臺相關(guān)的算法,不過可以確認(rèn)的是,”離開家庭”模式是出門工作,但是出門快速溜個狗不在此模式之內(nèi)。

他說:”你在半夜走出Geofence(虛擬圍欄),與你在工作日白天走出圍欄是不一樣的。我們可以判斷你是離開家去工作,還是出門幾個小時散步。”

Geofence可以搭載iOS或Android系統(tǒng),當(dāng)用戶進(jìn)入或走出他們的家,操作系統(tǒng)可以通知Nest app。使用此功能,意味著該app和Nest的云服務(wù)器無需保持用戶完整的定位記錄。Nest只需理解用戶何時進(jìn)入或走出Geofence。

Hu說:“我們所做的就是建立一個界線,一旦有人穿過界限,Nest就能跟蹤其行為。”

這就是Nest設(shè)計(jì)產(chǎn)品的一個細(xì)節(jié)反應(yīng),Alkove安全團(tuán)隊(duì)成員與工程師和設(shè)計(jì)師通過測試來保障產(chǎn)品的安全性能。

Alkove說:“我們團(tuán)隊(duì)中有安全專家和隱私專家 ,因此我們會將安全性和隱私性寫進(jìn)產(chǎn)品的骨子里,然后在開始在此基礎(chǔ)之上添加其他功能。”

Nest不愿透露有多少員工專門致力于安全隱私部門工作,但是Hu表示他們主要關(guān)注四個領(lǐng)域:建立低端、專注安全的工具,如識別管理功能;設(shè)置安全政策;掌握安全操作,如監(jiān)控指令;跟蹤服務(wù)器補(bǔ)丁,參與設(shè)計(jì)和測試。

他說:“Nest所有安全人員都必須向Alkove匯報,每一天他們都會與Nest其他的科技員工一起工作。Nest是一個跨功能組織,安全部門和操作部門的員工需要經(jīng)常共事。”

Nest使用工業(yè)標(biāo)準(zhǔn)安全工具和SSL原型, 對于能連接Nest設(shè)備、app服務(wù)器和云端的未授權(quán)用戶信息,Nest會進(jìn)行阻止。

Alkove說:”我認(rèn)為我們的原則就是從一開始將安全和隱私因素考慮到設(shè)計(jì)程序中來,我們的第一要務(wù)就是保護(hù)用戶數(shù)據(jù)。”這就意味著:數(shù)據(jù)在Nest硬件設(shè)備中會被解碼,個人信息在Nest云端系統(tǒng)也會被解碼,正常安全瀏覽和滲透測試會跟蹤服務(wù)器,來讓用戶免受黑客的攻擊。”

Nest與2014年被谷歌收購,現(xiàn)在正是Alphabet的姊妹公司,它能利用谷歌的資源。例如,谷歌有著員工破解密碼者,而對于Nest來說,這就沒必要。但是,Nest工程團(tuán)隊(duì)要求谷歌通過相同的渠道,來跟進(jìn)Nest安全專家的工作總結(jié)。

一旦發(fā)行產(chǎn)品,Nest將會要求調(diào)查者和用戶通過谷歌的Bug修復(fù)項(xiàng)目來報道安全漏斗。Alkove并不透露公司如何執(zhí)行此過程,但是他說出了一個案例:普林斯頓大學(xué)研究者發(fā)現(xiàn)Nest恒溫器可以在不解碼的情況下,轉(zhuǎn)換用戶郵編。Alkove表示公司現(xiàn)在已經(jīng)在努力解決此問題。

Alkove曾在微軟負(fù)責(zé)Windows安全工作,他表示:現(xiàn)在家具自動化仍然是一個新領(lǐng)域,并沒有很多正式的工業(yè)標(biāo)準(zhǔn)來闡明應(yīng)該如何保障數(shù)據(jù),安全過程應(yīng)是怎樣。但是,Nest與工業(yè)伙伴的合作,越來越多地致力于正常保險和公共事業(yè)部門。公司最近表示:現(xiàn)在美國超過30%的家庭通過公共事業(yè)公司連接Nest恒溫器,因此Nest需要保證所有的顧客數(shù)據(jù)都是安全的。Nest的工業(yè)伙伴也一樣,力求與Nest分享的數(shù)據(jù)是安全的。

他說:“我認(rèn)為智能家居行業(yè)現(xiàn)在正在努力設(shè)置標(biāo)準(zhǔn),但是很多公司都在調(diào)整,他們有著自己對于用戶數(shù)據(jù)的標(biāo)準(zhǔn)。”Alkove的職責(zé)就是為Nest引進(jìn)一個安全標(biāo)準(zhǔn),雖然他表示公司早在他入職之前就已經(jīng)開始關(guān)注安全和隱私了。

在某些情況下,Nest基于用戶期待,調(diào)整了安全模式。例如,Nest恒溫器最初在人為干預(yù)時并沒有加入安全功能,而下一代恒溫器將加強(qiáng)安全保護(hù)功能,這樣一來,向設(shè)備加載未授權(quán)密碼將會變得極為困難,從而加強(qiáng)了安全性。

Alkove說:“我們正在努力向設(shè)備加入更多的安全和隱私功能。用戶現(xiàn)在正在慢慢習(xí)慣智能手機(jī)安全措施,Nest想確保敏感數(shù)據(jù)能以一種安全可靠的方式上傳。”

最新一代的Nest恒溫器將只會加載固件密碼,因此即使連接設(shè)備,也很難下載惡意軟件。

Hu說:“安全和隱私對我們來說至關(guān)重要,因?yàn)閷τ陬櫩蛠碚f,家是一個非常隱私的地方,我們可以理解這一點(diǎn)。這就是我們一直以來奉行的原則。”

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號