計算機作為一種電子設備,如今已被廣泛地應用到生活當中的各行各業,雖然這給人們的生活帶來了高效性與便利性,但計算機安全也是個棘手問題。問問美國人事管理局(OfficeofPersonnelManagement)吧,該機構在7月9日承認2200萬政府雇員的敏感個人信息被黑客竊取。或者問問大型保險公司Anthem,它在1月公布其8000萬客戶記錄被盜。還有美國國家安全局,它在2013年遭遇了史上最大的泄密事件,項目外包商愛德華·斯諾登(EdwardSnowden)攜帶其大量機密文件出逃。
不幸的是,這一問題還會更加棘手。計算機已從桌面被裝進了人們的口袋,如今更是嵌入到汽車、電視、玩具、冰箱、工業套件等各種各樣的設備中。網絡設備制造商思科估計目前聯網設備達150億臺,到2020年這一數字可能攀升至500億。設備聯網的支持者們信誓旦旦,說一個充斥著聯網計算機和傳感器的世界將無比便利高效。他們稱之為“物聯網”。
計算機安全人員則將其稱之為一個正在醞釀的災難。他們擔心,生產聯網部件的公司匆匆把產品推出市場,并未汲取互聯網早年的教訓。上世紀八九十年代的大型計算機公司對安全問題后知后覺。只有當電腦病毒、黑客攻擊這類威脅顯而易見時,微軟、蘋果等公司才著手補救。但相比防患于未然,亡羊補牢要難得多。
物聯網正在重蹈覆轍。把日常物品變為計算設備的風險已經浮現。在一個案例中,一名黑客發現他可以遠程控制自己的藥泵,影響輸藥劑量。還有黑客曾讓新車的剎車和轉向系統失靈。網絡罪犯是富有創意的一批人。舉例來說,將來電腦化的洗衣機或冰箱可能會被篡改程序,用來發送垃圾郵件或存放兒童色情內容。又或者,電腦聯網的房門會要挾你交出比特幣贖金,否則不讓你進門。
三個手段有助于讓物聯網變得不那么脆弱。
首先要建立一些基本的監管標準。應該要求部件制造商確保產品在出售后發現的安全漏洞也能通過補丁修復。如果一臺設備可以被遠程管理,必須強制用戶更改默認用戶名及密碼,以防黑客利用默認設置進入系統。已經在美國大多數州實施的安全漏洞法規應當責成公司坦承問題,而非隱瞞。
第二道防線是建立妥善的賠償責任制度。幾十年來,軟件廠商一直在許可協議中對使用其產品的任何不良后果列出免責條款。隨著計算機被集成到從汽車到醫療設備的各式產品之中,這樣的立場將變得站不住腳。舉例而言,軟件開發人員可能不得不接受對產品使用常態的假定,一旦違背假定,他們會面臨法律訴訟的風險。保險公司、制造商及開發人員還是盡早開始研究解決這些問題為妙。
第三,各行各業的公司都必須重視計算機公司早已領受過的教訓。編寫萬無一失的代碼幾無可能。所以,開放的氛圍是最好的防范,因為這有助于傳播補救方案。曾有學術研究人員聯系大眾汽車的一家芯片供應商,稱發現了其遙控車鑰匙系統的一個漏洞。大眾汽車卻以申請法院禁令等方式回應。斬殺信使是行不通的。事實上,谷歌等公司現在會提供金錢獎勵,或稱“漏洞報告獎勵(bugbounties)”,吸引黑客告知公司他們發現的漏洞詳情。
30年前,未能正視安全問題的計算機廠商尚可托辭無知。如今借口不再。物聯網將帶來眾多好處。規劃應對其不可避免的缺陷,現在正是時候。
京公網安備 11010502049343號