物联网安全是意识问题不是技术问题

　　物联网（IoT）这个词既宽泛又模糊，有一种说法是，它包含了任一一种能作为网络一部分的“事物”。这个定义显然不够精准，事实上，没哪种定义让人满意的。

　　细细琢磨，IoT似乎更多地是个心理范畴的概念，而非技术领域的概念。

　　对“什么是物联网？”这个问题的回答，人们常常会以举例子的方式，给出一长串实例。例子列表里可能包括：

　　· 智能家居

　　· SCADA/ICS

　　· 工厂自动化装配机器人

　　· 自动驾驶汽车或联网汽车

　　· 无线健身设备和其他可穿戴设备

　　· 联网医疗机械

　　· 智能手机

　　· 家庭娱乐系统

　　· 计算机

　　这张列表对理解物联网安全问题有什么帮助吗？列表包含了那么多种事物和用例，以致很难看出期间有什么共性。其中一些东西在设计时就融合了安全思维，而其他的则完全无视了安全问题。有些是由用户或管理员主动管理和维护的，其他则是一旦安装上就抛之脑后再也不管了的。

　　想要围绕物联网问题展开有效讨论，就得先对“物联网”的定义达成共识。更具体来讲，要讨论物联网安全，我们得定义和确认“有问题的物联网（PIoT）”这个概念。上面那张列表里列出的东西里，或许有那么几样是可以不包含进来的。

　　这些设备的创造者和使用者的心理才是我们应该关注的，倒是它们工作的技术细节或者它们的设计目的反而没那么重要。

　　桌面计算机位于物联网设备列表的一端。计算机的创造者和用户都默认这些机器应该定期更新，不时用杀毒软件和其他安全工具查一查，理应好好维护机器的环境。计算机就是要有主动的管理才行。计算机安全，虽然远未解决，却一直是各方考虑的重点。每个人都清楚，他们重要的数据和资源处于风险之中，对计算机的攻击行为一直都有。

　　相对比智能烤面包机（一个现实世界中或许尚未真实存在的典型例子），很有可能无论是烤面包机的创造者还是用户，都没对烤面包机被黑的影响加以太多考虑。他们可能没意识到烤糊了或者没烤熟的面包也是会产生影响的。当然，安全专家们会将它们视作家庭网络边界中的脆弱设备。

　　安全专家知道，这些设备可被用于收集信息，捕获网络凭证，发起后续攻击等等。确实，它们没有用于管理和查看安全状态的用户界面。无论创造者还是用户都没期待一个烤面包机还要定期打补丁和更新。对大多数人而言，这种想法简直太奇怪了。

　　一个相关的想法是：安全可不是设备可感知价值的一部分。用户对他们的灯泡没有安全需求，于是，他们不会为灯泡的安全支付额外的费用，创造者们（尤其是初创公司）也就不会在原始设计和架构中引入安全了。

　　而物联网的麻烦（PIoT）直接诞生于创造者和用户的思维。他们所做的第一个假设，就是设备不会被攻击。他们可能会觉得，“不就一个智能灯泡吗，根本没有黑的价值啊”。或者，他们会认为，自己的技术都没接入公共互联网（比如SCADA设备），没有理由会被黑。

　　创造者和用户经常默认这些设备不会、不能也不必要被好好维护。他们对用户不可见，也不提供接口或界面来进行管理。