一個由微軟、賽門鐵克、Verisign、ADT以及TRUSTe等多位成員組成的廠商機構認為,目前的物聯網(簡稱IoT)市場雖然發展態勢一路向好,但卻并沒有對安全水平或者用戶隱私給予足夠的關注。
為了能將這類被初創企業所嚴重忽視的安全性考量元素切實納入到Alphabet的Nest業務當中,這個名為網絡信任聯盟(簡稱OTA)正在積極尋求能夠幫助物聯網方案解決隱私保護與內容信任難題的框架選項。
薄弱的保護體系以及糟糕的實現方式使得目前的物聯網安全實在看不到任何前景與希望。網絡信任聯盟表示,如果相關產品制造商不作出改變、服務項目也繼續也漫不經心的態度對待安全風險,那么這種負面狀況將永遠得不到扭轉。
通過這套框架的公布,網絡信任聯盟希望能夠幫助物聯網市場不再重蹈覆轍——也就是在安全考量中忽視產品生命周期這一重要因素。
“可持續性——也就是設備在生命周期當中的受支持能力以及售后服務到期后的數據保護能力——對于全球范圍內的普通用戶及企業客戶而言,都是保障安全、隱私以及個人信息的重要前提,”框架聲明作出了這樣的解讀。
換句話來說,相關廠商無法在售后服務到期或者隨意設定報廢日期,并在此后直接將用戶拋在一邊。如果其中出現某項安全漏洞(而廠商又仍然沒有倒閉的話),那么其必須得到修復。
Windows 10在閃亮登場的同時也帶來了權限濫用的問題,其在默認狀態下支持Wi-Fi密碼共享。反對者可能會對網絡信任聯盟就物聯網服務透明度所作出的呼吁大加嘲笑,但這也正是該機構的核心主旨。該聯盟主席兼執行董事Craig Spiezle強調稱,健康狀況追蹤裝置、智能家居、智能電視以及智能電網體系都面臨著嚴重的潛在風險。
那么,這份文件到底包含有哪些內容?
這份題為《物聯網信任框架草案》的文件指出,安全與隱私應當成為“產品開發之初即受到認真對待的優先考量因素,同時得到全面解決。”
這份框架還包含有以下幾項基本要求:
全面公開隱私政策——要求客戶能夠在著手購買產品之前,輕松查閱到其需要了解的隱私政策,從而據此作出選擇或者放棄購買產品或服務的決定。
保證隱私政策的可讀性——網絡信任聯盟指出,其中包括利用用戶界面設計顯示相關政策。由于家居傳感器或者健康狀況追蹤裝置往往不具備用戶界面,因此相關廠商應當保證在其它設備之上明確顯示隱私政策內容。
向用戶公開所收集之數據類型——或者如框架文件當中所言,“設備制造商必須明確披露其產品所能收集到的全部個人身份識別數據類型及屬性。”
物聯網產品廠商須明確數據共享機制——數據應當只共享給同意并遵循保密協議的第三方機構,且只面向受限用途使用。
明確告知客戶其個人數據的保有時長。
其它建議還包括強制要求用戶更改設備的默認密碼;個人數據應當在閑置或者傳輸過程中進行加密或者散列化處理;在數據從物聯網裝置發送至服務器端時,應當遵循SSL最佳實踐;HTTPS必須成為所有設備進行服務器通信時的默認選項。
我們也欣慰地注意到,相關建議還包括告知用戶哪些數據會被存儲在云環境當中,提醒用戶在智能設備斷開聯網或者某些智能選項被禁用時、哪些功能將會受到影響;而相關廠商應當確保匿名數據不可被重新認定。
類似的條款還有很多,這一切都讓我們確切了解到網絡信任聯盟的訴求及其存在意義。不過話說回來,物聯網產品廠商到底吃不吃這一套還是個問題,我們只能靜待時間給出答案。
京公網安備 11010502049343號