攝像頭等缺乏安全保障的聯網設備已經成為網絡攻擊的工具。那么,政府能否阻止災難事故的發生呢?
最近,一些著名計算機安全專家向國會遞交了報告,其中最重要的一條是:大量缺乏安全保障的聯網設備會對公民的生命和財產造成巨大風險,政府必須介入并規范互聯網產品的安全性。
著名安全學者、哈佛大學公共政策講師布魯斯·施奈爾(Bruce Schneier)上個月在眾議院能源和商務委員會舉行的聽證會上說道,美國網站技術提供商Dyn在10月份遭到DOS攻擊(Denial-of-Serviceattack,拒絕服務攻擊),導致美國東海岸地區的許多網站集體宕機。這種攻擊依賴于受黑客攻擊的網絡攝像頭、攝像機、嬰兒監視器所形成的僵尸網絡。這次攻擊中沒有人傷亡,但它卻展示了互聯網由隱患擴散所造成的災難性風險。
比如,施奈爾和其他專家證實,黑客可以經由電腦漏洞攻擊醫院,控制醫院的電梯和通風系統。后果讓人不寒而栗。施奈爾認為,要解決這種“市場失靈”,必須要政府出面。
物聯網設備的問題越來越嚴重,原因是制造商缺乏一種內在動力來優先考慮安全性。雖然消費者想要安全性更高的溫控器等物聯網產品,但市場上根本沒有相應的評估系統。
對此是否該有作為,政府也有些小分歧,因為還有更多更關鍵的系統容易受到Dyn那樣的攻擊。而且,政府究竟應該如何處理這種情況,需要經過華盛頓的激烈辯論,而這必須要等到當選總統特朗普宣誓就職之后。另一方面,美國商會和消費者技術協會等商業組織認為,物聯網設備的新規定會阻礙創新。
施奈爾認為,美國需要成立新機構來負責網絡安全。但這似乎不太可能,因為特朗普在競選中就表示要壓縮政府組織,共和黨人也普遍反對擴大政府。但施奈爾警告委員會成員,一旦發生災難性事故,公眾勢必要求政府有所作為,政府必須早做準備。
那么,風險究竟有多大?網絡安全專家、密歇根大學計算機科學與工程教授傅佳偉(Kevin Fu)認為,互聯網安全危機重重而且愈演愈烈。傅佳偉認為,物聯網設備正被應用于醫院等敏感地方,而且它們很容易被攻擊,并成為僵尸網絡大軍的一份子,最終被別有用心者用來攻擊相關機構。
傅佳偉也在眾議院聽證會上表示,如果沒有在網絡安全上采取有力措施,那么互聯網就無法支撐關鍵系統。他建議政府建立獨立的監管機構來測試物聯網設備的安全性。這應當包括由美國國家公路交通安全管理局(National Highway Traffic Safety Administration)所完成的汽車售前撞擊測試、美國國家運輸安全委員會(National Transportation Safety Board)所負責的撞車事故后測試以及“幸存與毀滅測試”來評估設備如何應對攻擊。
雖然我們不知道特朗普政府或者國會是否會優先解決物聯網風險,但是美國現階段應該作何反應呢?11月,美國國土安全部發布了一套“物聯網安全的戰略原則”,建議對“缺乏安全設計”的制造商進行起訴。同一天,負責出版技術領域行業標準的美國國家標準與技術研究所發布了互聯網系統“防御與生存”工程的自愿準則。
每臺聯網的計算機,無論是汽車、無人機、醫療設備以及其他任何裝置或系統,都很容易陷入網絡安全危機。這就是為什么集中監管機構很有必要建立。如施奈爾所言:“必須制定統一規則來規范汽車、無人機、手機、醫療設備以維護網絡安全。”
京公網安備 11010502049343號