現在越來越多的事物開始連接到互聯網,甚至比地球上的人類數量還多,而且這個數字還在迅速增長:根據Strategy Analytics表示,在五年內,每個人將擁有四臺設備。互聯網曾經只包括計算機、智能手機和平板電腦,而現在還包括聯網血壓計、煙霧探測器洗衣機。專家預測這個趨勢還會繼續發展,在未來五年,設備的數量將會翻一番。這將是巨量的設備,將會產生海量的數據。
所有這些數據將會去哪里呢?個人和服務提供商應該如何保護物聯網(IoT)所產生的敏感信息的機密性、完整性和可用性呢?如果這些數據包括個人健康信息呢?美國聯邦貿易委員會(FTC)的人員在研討會解決了這些問題,并在名為《物聯網:互聯世界中的隱私性和安全性》的報告中公布了其調查結果。
什么是物聯網?
雖然IoT是相當新的流行語,但其實它反映了過去十年出現的趨勢。現在各種日常物品開始連接到互聯網,定期發送和接收數據。企業開始提供Wi-Fi功能的慢燉鍋、自動噴水滅水系統和燈泡。IoT正在改變世界,實現日常工作的自動化,并大規模進行數據分析。
在IoT的發展中,最有前景的領域之一是醫療保健領域。現在很多人在使用個人健身追蹤器來收集身體活動的信息。血壓計、血糖儀和量表等會收集生命體征數據,并上傳到云服務器進行追蹤和分析。這些新設備和服務可帶來醫療優勢,但同時也帶來對IoT安全和用戶隱私的問題。
IoT世界的安全和隱私風險
當我們使用IoT存儲、處理和傳輸健康信息時,我們面臨怎樣的風險?FTC在研討會詳細探討了這個問題,并確定了安全和隱私專業人員需要關注的三大類風險。這些風險與傳統聯網設備面臨的風險類似,但這些設備用于醫療和安全目的帶來了新的問題。
首先,IoT可能允許對個人信息的未經授權訪問和濫用。IoT設備、云服務或它們之間的通信渠道中的漏洞可能允許外部攻擊者訪問敏感數據。而在涉及醫療設備的情況中,個人健康信息可能會暴露給入侵者或讓全世界看到。
其次,IoT設備可能推動對其他系統的攻擊。我們通常很難在非交互式設備安裝安全補丁,這可能讓它們易受攻擊。在攻擊者感染IoT設備后,他們可能會用它來入侵網絡,并對包含敏感信息的其他系統發動攻擊。
最后,在最糟糕的情況下,IoT設備可能會危及人身安全。FTC研討會的與會者提到了聯網胰島素泵的例子。如果攻擊者獲得訪問權限,在理論上來看,他們可能修改發送給患者的胰島素量,導致患者受傷害或死亡。政府官員非常重視這個問題,并曾修改了被植入當時副總統Dic Cheney的起搏器以防止外部攻擊。
這些風險需要安全人員的關注以及采取必要的緩解。企業在向市場推出IoT設備和服務時,必須審慎評估其產品的風險,并制定全面的安全和監測計劃來其產品的保護機密性、完整性和可用性。
保護IoT領域的醫療數據
該FTC報告專注于物聯網的隱私性和安全性,其中承認了IoT應用的復雜性,并建議企業遵循最佳做法來保護健康信息。從安全的角度來看,企業在推出產品前應執行風險評估,并測試安全措施。FTC還建議企業實現數據最小化,限制收集信息的數量,并在信息不再需要時刪除信息。另外,企業應該在必要的時候向消費者提供通知,消費者也應該有權利對數據收集做出選擇。該報告中最后且最有爭議的建議是,美國國會“應制定強有力的靈活且技術中立的聯邦立法,以加強其現有數據安全執法手段,以及在發生數據泄露事故時向消費者提供通知”。
企業應該如何應對
該報告對你和你企業的影響是什么?并不是很多。該報告由FTC人員所編寫,但并不是管制行動。它只是對IoT的安全性提出了一些令人深思的問題,并為保護數據提供了正規指導。事實上,FTC專員Joshua D. Wright公開對該報告提出了異議,他稱,他覺得對于這個廣泛的話題,該報告的研究工作不足。Wright稱:“在為與物聯網相關的廣泛隱私法提供行業最佳做法和建議之前,委員會及其工作人員至少應該進行必要的工作,以確定部署這種最佳做法和建議的潛在成本和優勢。”
保護物聯網的安全性
在政府和行業確定IoT安全的最佳做法的共同標準之前,我們還有很長的路要走。在此期間,對于處理醫療相關的IoT數據的企業而言,應該時刻保持警惕,并圍繞這些數據構建可靠的安全程序。我們為保護醫療數據使用多年的標準也可適用于通過聯網設備收集的數據。企業應利用常識,并保持數據安全。
京公網安備 11010502049343號