2016年10月,新罕布什尔州的一家主机公司遭遇了一场DDos攻击,这次攻击是由被称为“Mirai”的僵尸网络发动的。Mirai利用默认密码“admin”感染了IP摄像头、打印机还有婴儿监视器等设备。随着设备数量的持续增长,未来的攻击可能会导致全球物联网设备瞬间失去控制。物联网产品在设计时就应该考虑隐私和安全问题,这是每个公司必须面对的首要任务。不再是在产品原型准备好后才去考虑隐私和安全,而是从一开始就应该把它们放在首位。当一个设备存在单点漏洞时,黑客可以轻松地通过其他看似不相关的设备来攻破整个系统。 消费和企业的信心非常脆弱,一旦出现裂痕,用户会毫不犹豫地离开市场。物联网时代数据流动速度非常快,从个人的心率到工厂的生产线都可能被泄露。这种泄露可能给品牌和整个行业带来严重影响。 例子中的两名白帽黑客与《连线》记者合作,成功入侵了记者的吉普车娱乐系统并控制了传动控制。当车辆以近100公里每小时在州际公路行驶时,引擎突然熄火导致车辆滑行数十米才停下来。这个实验展示了物联网价值和单点漏洞之间的矛盾。 美国休斯敦一对夫妇两岁女儿卧室里传出了东欧口音的污秽言语。父亲冲进房间发现黑客已经攻陷了婴儿监视器。虽然显示器设置了密码但厂商默认账号“admin”+空密码让攻击者轻松入侵。这给这对夫妇和他们的女儿带来了巨大心理创伤。 欧盟的通用数据保护条例(GDPR)明确要求组织流程和业务模型在设计时就要考虑到保护措施。这也体现出全球范围内对设计安全已经达成共识。 物联网公司和监管机构都意识到必须把安全机制植入到产品生命周期中每一个环节并不断迭代改进。 欧盟报告《通过设计保护隐私和数据——从政策到工程》批评传统工程范式对隐私和数据保护缺乏认识。报告建议使用加密、匿名通信、基于属性的凭证等隐私增强技术(PET)来提升安全水平。 这个报告还强调法律、伦理还有用户教育都是重要组成部分。只有通过技术、流程、法律以及教育的共同努力才能真正解决隐私问题。 没有一家公司能够独善其身面对物联网隐私与安全问题。跨公司标准组织如IoT Security Foundation还有OpenSSL等正在制定最佳实践代码库和测试套件供其他企业使用。 FTC与行业合作建立了“负责任的创新”框架将合规工作前移到设计阶段。通过让消费者在购买时就能比较设备的安全等级可以利用市场力量推动厂商提升安全性。 中国厂商在中国供应链中既享受成本红利也面临着风险——一旦供应链中最弱一环出问题可能影响整个产业链。 把安全设计写入供应链协议能够避免“一家出事全链陪跑”。同时积极参与国际标准制定可以让中国方案成为全球默认选项。 未来的物联网浪潮中信任将是最大的增量价值所在。把隐私与安全从“事后补丁”升级为“第一行代码”,通过合作生态对抗“单点英雄”,才能确保十亿台设备浪潮中信任得到最大程度保障。