物聯網安全問題棘手的六個原因
將物理基礎設施連線到網際網路,會使系統容易遭受新的安全威脅。讓高管們夜不能寐的威脅因行業差異而各不相同,但各個領域的網路安全問題無疑都在惡化。
製造業的安全人員擔心員工將感染了病毒的U盤插入機器,醫院管理人員則擔心惡意軟體毀掉未打補丁的核磁共振成像(MRI)機器,或是黑客會引導輸液泵注射致命劑量的藥物。
Josh Corman是位於馬薩諸塞州的計算機軟體公司PTC的首席安全官,他總結了六個理由,說明物聯網安全與傳統資訊科技的為何不同,以及為何更難處理。
首先是物聯網安全問題的後果更為可怕。我們將越來越多的物理系統和設施連線到無線網路,風險也越來越高。一旦汽車或輸液泵受到攻擊,可能會導致人員死亡。
由此引出了Corman提出的第二個原因,即物聯網安全是一項特殊挑戰:對手與我們此前所見都不同。他們不再是試圖賺錢或製造麻煩的獨行黑客,當今的對手是國家黑客系統,我們面對的是全力以赴的網路戰爭。
2010年摧毀伊朗離心機的震網(Stuxnet)病毒可能是最早的案例。然後是2017年8月,一家沙特化學工廠遭到了一場旨在引發爆炸和破壞石油化工產品生產的黑客攻擊。專家認為,這次襲擊由國家支援,目的是傳遞政治資訊。
Corman指出的另外兩大原因源於時限和經濟因素。當一家公司購買傳統資訊科技系統時,只能在一定時限內得到軟體公司的支援。直到過去的幾個月,一些晶片製造商和軟體供應商才開始為物聯網產品提供為期7年和10年的支援。有一些仍然沒有提供任何詳細的支援合同,或者將期限限制在2到3年。
在某些情況下,這樣做是因為經濟上還不允許。一個聯網產品產生的利潤可能微乎其微,但或許需要許多年的更新、補丁和安全評估。未來出售商品的成本可能還需要包括年度安全更新和補丁。
Corman的第五個原因與一個可怕的現實有關,即許多聯網裝置都是由不同公司生產並最後組裝在一起的軟體、硬體和韌體構造出來的。只要有一個薄弱環節就能製造出漏洞,因此,如果為汽車開發車載資訊系統的公司不更新其軟體,那麼整個汽車就會變得脆弱易受攻擊。IT世界也面臨著類似的挑戰,但通過多年的合作,製造商們已經在系統升級以使每個元件都得到及時修補問題上達成了一致。
最後,許多連線裝置都存在於與任何IT系統不同的環境中。在家裡,沒有IT經理可以將補丁推送到連線的冰箱。在工業環境中,修補一臺機器可能會導致它停止使用線路上的其他裝置。在這裡,與停止每天產生數十萬美元收入的流程的風險相比,黑客攻擊的風險似乎很低。
很多聯網裝置所處的環境與IT系統並不相同。沒有IT經理會將補丁推送到家庭環境裡聯網的冰箱上。而在工業環境下,給一臺機器打補丁可能會導致它與生產線上的其他裝置都停止工作。與使每天產生數十萬美元收入的生產線停下來相比,黑客攻擊這些聯網裝置的風險似乎很低。
在IT世界中,生命週期管理軟體產業已經發展成熟,那些生命週期管理軟體可以跟蹤補丁並回滾有bug的軟體。而在物聯網世界中,我們還沒有到達這一步。