上个月,就在欧盟通过具有里程碑意义的《网络弹性法案》几天后,拜登政府自豪地宣布了自己的成就:联网产品的网络安全标签计划。然而,只要读到新闻稿中的第三个词——“自愿”,就能明白该计划缺乏任何真正的执行力。
安全与哪个政党控制行政部门无关,因此这不仅仅是对民主党的批评。无论是蓝党还是红党,其无能都是一样的。
大型科技公司已经表明,在自我监管方面,“自愿”一词并不在其词汇中。硅谷和华盛顿之间的众多问题超越了导致美国政府几乎陷入停顿的党派僵局。即将出台的 TikTok 立法证明,双方都在寻求超越表演行为,采取真正的网络安全措施。
也许 FCC 的新网络信任标志是为了安抚科技巨头,以换取更严格的人工智能监管。或者,这只是一群与现实脱节的官僚犯下的一个错误。无论如何,该行业对解决物联网安全问题兴趣不大,这对他们有利。目前有 34 亿台物联网设备;预计到本世纪末,这一数字将达到 250 亿台。
与智能手机和笔记本电脑等高端设备不同,这些设备受到广泛的安全协议的约束,而冰箱、灯和狗食器中的“智能”设备受到的保护却很少。美国家庭平均拥有数十台这样的设备,这使得消费级物联网设备成为黑客的主要目标。此外,物联网是人工智能的重要催化剂,这仍然是技术政策制定者关注的重点。如果没有强大的物联网安全措施,完善的人工智能政策就不完整。
由于涉及的硬件种类繁多,物联网安全可能比人工智能安全更复杂。与工业和商业同行不同,消费品制造商选择阻力最小的路径,只实施最低限度的安全措施,并且未能跟进以确保设备应对不断变化的挑战。
政府将 Cyber Trust Mark 与 ENERGY STAR 标签进行比较,这是一个严重的错误。ENERGY STAR 计划也是自愿性的,更令人担忧的是,它设定的目标很低。提高设备能耗与保护公民免受无数在线威胁相去甚远。
警告标签和标志看似简单,但实际上却比沉默更危险。人们经常忽略细节,信息时代的注意力持续时间越来越短。暗示一切正常的标签会鼓励消费者不去思考,而只是接受。有多少父母会为自己十几岁的孩子购买产品,认为这样做是明智之举?那些不懂技术但相信 FCC 价值的老年人怎么办?网络信任标志很有可能会在美国公民中鼓励更危险的行为。
如果拜登政府认真对待物联网安全问题,那么它必须强制实施该计划,否则就必须放弃它。它应该停止将政府资源浪费在象征性姿态上。建立定期审计制度,并对失败行为实施真正的惩罚。
此外,它还应提高标准。威胁形势在不断发展,标准也必须不断调整。现在满足于最低标准意味着该计划很快就会受到损害并过时。来自学术界、倡导团体和一些行业部门的独立物联网网络安全专家小组应该负责建立一个具有最佳实践的动态流程:从设计而非模板上致力于安全,向消费者提供安全补丁的时间表,以及向当局报告违规行为的协议。
此外,教育要比安抚要多。视觉上吸引人的标签应该只是开始。除了标签,FCC 还建议使用二维码来获取信息。忘掉标签吧;优先考虑这种易于理解、直言不讳的安全建议。FCC 可以从健康倡导活动中汲取灵感,以获得比 ENERGY STAR 提供的更好的指导。对物联网和所有设备的良好安全卫生进行公共教育虽然耗时,但对于改变行为至关重要。
有趣的是,行业联盟连接标准联盟 (CSA) 已经超越了 FCC,提出了类似的概念,但认证标准和执行力度更高。新加坡已经签署了该协议,更多国家可能会效仿。美国也应该考虑这种方法。
安全从来都不是绝对的,但存在比 FCC 标签更合理、更高效的解决方案。让我们看看 TikTok 协议是否会带来更大的两党合作——以及常识。
作者: Fabian Kochem 是1NCE的全球产品战略主管。
(本文转载自iotinsider,仅用于物联网知识普及与分享,如有侵权,请原作者联系本站管理员删除。)
