物联网防御需趁早 网络崩溃或可致命

 在上周旧金山的 RSA 资讯安全研讨会上，互联网社会(Internet Society )的网路科技长(CITO)Olaf Kolkman 和 IBM Resilient 的科技长(CTO)Bruce Schneier(也是知名多本密码学专书的作者)这两位以前不同阵营的科技人(方便第一或安全第一)发现，关于物联网资安议题，自己身处于不可置信的联盟。

基本上，Kolkman 鼓吹要求业界必须从基本建立起物联网的防御机能;而 Schneier 这位反国家强制规范的自由主义者，也同意是时候该为这些连网的小工具制定游戏规则了。

“多年以来，大部分的我们一直是自由主义者，不想要被重重的法规拘束，但是当网际网路在现实世界崩溃，导致有人真的可能被杀死时，绝对的自由就不是一个选项了。”Schneier 接着说：“现在不是讨论有监管与没有监管的时候了，因为船已经开出去了。现在的课题是设计聪明的规范，还是愚蠢的规范!”

该产业已经预想到了这个问题，因为对于公司的利益而言，不会在意任何物联网设备的安全性;而普通人目前也还不会关心这议题，所以任何可能增加产品成本与售价的东西都会被制造商抵制。

Schneier 认为这情况就类似于 20 世纪 50 年代的汽车一样。当时，安全带还不是汽车的标准配备，只有少量的汽车有配，当然更没有安全气囊，也不会有客户要求汽车制造商安装它们。是因为美国政府发现道路上的死亡人数攀升，所以开始制定行车安全相关法规，且强制推行，现代的汽车里，安全带、安全气囊等才变成标准配备。

他又表示，我们现在正处于类似的情境。应该不会很久，我们有生之年就会看到第一起使用物联网设备而意外死亡的案例，可能导致一大片网际网路当机，或者是使用智慧汽车和智慧建筑个人设备时被入侵或者发生其他意外。

政府应监管物联网设备

Kolkmany 则表示，他赞成政府对物联网设备的监管。这些设备至少必须具备更新与修补的机能。实务上，一旦主流市场走向这样的路线，其余的将会跟随。

他指出欧盟有资料隐私法，如果一个公司违反规定，将会被处以高达全球收入 4% 的钜额罚金。如果有了类似的物联网法规，制造商就也得依循欧盟法规制造产品，产品才能在欧洲销售，而世界其他地区也将受益。

议程主持人暨网路信赖联盟(Online Trust Alliance)的主席 Craig Spiezle 表示，他对当前美国的共和党联邦政府是否提出新法规不表乐观，但是个别的州可以当领头羊。

“我听说加州正在进行物联网设备监管的立法，这是令人鼓舞的事情，”他接着说：“加州曾是第一个制定反垃圾邮件和儿童保护法的州，看来加州也将在物联网安规方面保持领先。”

但是仍然有一些听众不想要任何强制性政策。高通公司的产品安全工程副总裁 Alex Gantman 就说，在他的职涯中，他从来没看到过使 IT 设备更安全的法律，在某些情况下，繁文缛节的法规反而会产生反效果。

笔者认为，国内物联网相关产品的业者也要开始留意这个趋势，及早做好因应的准备。