放眼全球,物聯網技術的指數級增長,為用戶提供了更大的便利性,各種設備的可訪問性也大大增強,但同時,系統和設備可能容易受到網絡安全威脅的影響。特別是消費級連接設備,可能在無意中成為網絡攻擊的脆弱目標,威脅到用戶的安全和數據隱私。
毫無疑問,面臨這一系列的風險,IC設計工程師、制造商和相關產品的零售商,必須了解這些風險,以及能夠提供保護的相關法規內容及合規操作。
安全漏洞越來越多
然而,有關網絡安全漏洞的報告正在上升。在每個被連接的網絡上,只要有一個漏洞,那么整個網絡都會失去安全保障。也就是說,只要一個智能設備易受攻擊,整體網絡就很容易被黑客入侵,私人數據可能會受到損害或丟失。
所以,那些不能識別并滿足客戶網絡安全預期的設備制造商,可能會在未來遭受嚴重損失。一旦物聯網安全事故發生,制造商會面臨經濟損失、法律處罰、品牌名譽受損,其客戶甚至會面臨人身傷害或傷亡事故。
業界的例子比比皆是。
在 2019 年,研究人員發現了一款智能鎖中的某個安全漏洞,可能使家庭網絡受到攻擊。進一步的調查后,發現黑客能夠通過這個漏洞,攔截移動應用程序和智能鎖之間的網絡流量——這意味著,從本質上講,黑客通過這個智能鎖,能夠“憑空”竊取該住戶的鑰匙。而且由于智能鎖的固件往往不會頻繁更新,如果房主沒有發現這個漏洞,根本不會想到去換鎖。保護房屋的唯一方法,將是購買更安全且可能夠更新軟硬件的智能鎖。
在 2020 年,安全研究人員測試了一款流行品牌的智能燈,發現通過這個看起來平平無奇的照明燈具,居然可以成功侵入房主的計算機網絡。一旦這個漏洞被黑客發現,很容易進入網絡并植入惡意代碼。
這些只是全球報道的、發生在我們現實生活中的物聯網攻擊中的很小一部分。解決問題的根本,是制造商必須提供通過無線方式保護、更新其產品的方案。這也是為何物聯網產品制造商必須根據適用標準進行設計和測試的關鍵之處。
消費者物聯網的新興標準和法規正在出臺
隨著物聯網和相關技術的興起,新的監管法則越來越多地在全球范圍內部署。以美國的 2020 年物聯網 (IoT) 網絡安全改進法案,要求各機構提高聯邦政府擁有或控制的物聯網設備的網絡安全。而作為實施案例,美國加利福尼亞州和俄勒岡州已經強制要求,制造商必須為物聯網設備提供網絡安全配置。
在歐洲,歐洲電信標準協會 (ETSI) 于 2020 年推出了物聯網網絡安全標準 EN 303 645,概述了一系列旨在提供保護基線(baseline)的保護條款。除了物聯網和網絡安全相關標準外,制造商還必須遵守 GDPR(通用數據保護條例)下的數據隱私條例,其中,還規定了制造商必須告知用戶其設備將收集的數據、數據的使用方式,以及它對用戶造成的影響。
CIoT設備制造商面臨的挑戰
與開發未連接設備的制造商相比,所有消費物聯網 (CIoT) 設備制造商都應具備更高水平的技術成熟度。總結來說,消費物聯網的制造商普遍面臨著三個挑戰:連接性、合規性和網絡安全。
消費物聯網的制造商必須為產品的連接性考慮許多,產品需要確保信息的無縫流動,也就是說,無論數據是流入還是流出其設備,都需要保證設備始終可用。為了跟上不斷變化的技術,相關設備也需要不斷升級。在連接性方面,CIoT 設備還必須具有能在擁擠的混合信號環境中,與其他設備共存的技術。
此外,為確保有競爭力的發布日期,并順利進入全球市場,此類技術的制造商必須確保符合最新的監管要求。因此,確保設備的網絡安全甚至可能是其中最困難的設計挑戰。
連接設備數量的增長和新技術的使用,讓新的威脅漏洞迅速浮出水面,而且是看不見的。制造商面臨的一些典型威脅包括:惡意軟件、弱密碼或默認密碼、敏感數據的泄漏等,這些漏洞能讓網絡犯罪分子獲得未經授權的訪問權限,從而造成混亂和經濟損失。
其他威脅還包括對隱私的攻擊,這會影響用戶的隱私和網絡元素對未經授權的實體的暴露。被稱為“竊聽”的安全隱患,即利用網絡通信竊取通過數字設備共享或發送的信息,也將成為一個不小的問題。
還有針對特定目標設計的更復雜的攻擊,它們會在很長一段時間內發起,并分階段進行。這些類型的攻擊,目的是收集盡可能多的敏感數據、信息和/或控制,同時不被發現。還有一個越來越普遍的問題,是偽造惡意設備。此類設備通常具有后門,可用于對同一環境中的其他系統進行攻擊。由于仿冒設備不易被識別,因此這種攻擊很難被發現,因此潛在的作惡手段幾乎是無窮無盡的。
安全,是物聯網技術的核心需求
利用物聯網市場增長的消費物聯網產品制造商可以使用許多令人興奮的新技術。然而,在物聯網產品中實現價值創造的相同技術也可能提供易受攻擊的漏洞。
物聯網 (IoT)技術融合了我們的數字世界和物理世界,并迅速成為消費者對各種標準設備及電子產品的期待屬性。隨著對智能技術需求的增加,大規模制造已經讓我們看到,未來制造搭載無線連接和先進傳感器技術產品的成本,必然會明顯降低。
確保良好的安全設計理念,同時證明符合相關法規,是制造商保護其產品的最佳方式,當然更重要的是,如何有效保護客戶的隱私與人身財產安全,或將是眾多IoT制造商從殘酷的技術及商業大戰中脫穎而出的法寶。
