在上週舊金山的 RSA 資訊安全研討會上,網路社會(Internet Society )的網路科技長(CITO)Olaf Kolkman 和 IBM Resilient 的科技長(CTO)Bruce Schneier(也是知名多本密碼學專書的作者)這兩位以前不同陣營的科技人(方便第一或安全第一)發現,關於物聯網資安議題,自己身處於不可置信的聯盟。
基本上,Kolkman 鼓吹要求業界必須從基本建立起物聯網的防禦機能;而 Schneier 這位反國家強制規範的自由主義者,也同意是時候該為這些連網的小工具制定遊戲規則了。
「多年以來,大部分的我們一直是自由主義者,不想要被重重的法規拘束,但是當網際網路在現實世界崩潰,導致有人真的可能被殺死時,絕對的自由就不是一個選項了。」Schneier 接著說:「現在不是討論有監管與沒有監管的時候了,因為船已經開出去了。現在的課題是設計聰明的規範,還是愚蠢的規範!」
該產業已經預想到了這個問題,因為對公司利益而言,不會在意任何物聯網設備的安全性;普通人目前也不會關心這議題,所以任何可能增加產品成本與售價的東西都會被製造商抵制。
Schneier 認為這情況就類似 1950 年代的汽車。當時,安全帶還不是汽車的標準配備,只有少量汽車有配,當然更沒有安全氣囊,也不會有客戶要求汽車製造商安裝。是因為美國政府發現道路死亡人數攀升,所以開始制定行車安全相關法規,且強制推行,現代的汽車裡,安全帶、安全氣囊等才變成標準配備。
他又表示,我們現在正處於類似的情境。應該不會很久,我們有生之年就會看到第一起使用物聯網設備而意外死亡的案例,可能導致一大片網際網路當機,或是使用智慧汽車和智慧建築個人設備時被入侵或者發生其他意外。
政府應監管物聯網設備
Kolkmany 則表示,他贊成政府對物聯網設備的監管。這些設備至少必須具備更新與修補的機能。實務上,一旦主流市場走向這樣的路線,其餘的將會跟隨。
他指出歐盟有資料隱私法,如果一個公司違反規定,將會被處以高達全球收入 4% 的鉅額罰金。如果有了類似的物聯網法規,製造商就也得依循歐盟法規製造產品,產品才能在歐洲銷售,而世界其他地區也將受益。
議程主持人暨網路信賴聯盟(Online Trust Alliance)的主席 Craig Spiezle 表示,他對當前美國的共和黨聯邦政府是否提出新法規不表樂觀,但是個別州可以當領頭羊。
「我聽說加州正在進行物聯網設備監管的立法,這是令人鼓舞的事情,」他接著說:「加州曾是第一個制定反垃圾郵件和兒童保護法的州,看來加州也將在物聯網安規方面保持領先。」
但是仍然有一些聽眾不想要任何強制性政策。高通公司的產品安全工程副總裁 Alex Gantman 就說,在他的職涯中,他從來沒看到過使 IT 設備更安全的法律,在某些情況下,繁文縟節的法規反而會產生反效果。
筆者認為,中國物聯網相關產品的業者也要開始留意這個趨勢,及早做好因應的準備。
(首圖來源:shutterstock)
