為何安全是物聯(lián)網(wǎng)的關(guān)鍵

當(dāng)下物聯(lián)網(wǎng)設(shè)備的安全性參差不齊，一些安全穩(wěn)健，另一些則并非以安全為優(yōu)先考慮，易于受到攻擊。

消費(fèi)者普遍認(rèn)為相機(jī)、可穿戴設(shè)備和醫(yī)療傳感器等設(shè)備是安全的，但這些物聯(lián)網(wǎng)設(shè)備遭受攻擊（和黑客攻擊）的報(bào)道仍然頗為常見。

如果消費(fèi)者無法區(qū)分物聯(lián)網(wǎng)設(shè)備是否安全，就會(huì)大大減弱他們的購買信心，從而阻礙了聯(lián)網(wǎng)設(shè)備的普及。

造成這些安全問題的關(guān)鍵有兩個(gè)，一是缺乏可執(zhí)行法規(guī)來保證所有的物聯(lián)網(wǎng)產(chǎn)品均達(dá)到最低安全水平，二是缺乏標(biāo)準(zhǔn)化的設(shè)計(jì)、實(shí)施和認(rèn)證方法。不過，這一現(xiàn)象正在得到改善，隨著技術(shù)革新，未來的物聯(lián)網(wǎng)會(huì)更加安全、可靠。

物聯(lián)網(wǎng)安全不容小覷

在物聯(lián)網(wǎng)產(chǎn)品的整體開發(fā)過程中，安全因素是必須考慮的成本。否則，安全漏洞受到攻擊所帶來的損失，可能會(huì)較安全成本高出數(shù)倍，得不償失。

物聯(lián)網(wǎng)設(shè)備遭受攻擊會(huì)造成多種負(fù)面影響，包括泄漏有價(jià)值的數(shù)據(jù)或知識(shí)產(chǎn)權(quán)(IP)，以至需要更高的成本來修復(fù)產(chǎn)品或服務(wù)中的漏洞，還會(huì)造成聲譽(yù)受損、客戶流失以及罰金。

此外，不安全的產(chǎn)品不僅會(huì)影響企業(yè)的發(fā)展前景，還會(huì)導(dǎo)致消費(fèi)者的不信任，嚴(yán)重影響整個(gè)產(chǎn)品類別的聲譽(yù)。

這樣的不良聲譽(yù)削弱了廣大消費(fèi)者對(duì)物聯(lián)網(wǎng)設(shè)備的信心。因此，從芯片供應(yīng)商到終端設(shè)備制造商，確保物聯(lián)網(wǎng)的安全性是行業(yè)內(nèi)所有企業(yè)的重要使命。

物聯(lián)網(wǎng)安全方法標(biāo)準(zhǔn)化

連接到網(wǎng)絡(luò)的物聯(lián)網(wǎng)設(shè)備數(shù)量越多，遭受攻擊的風(fēng)險(xiǎn)就越大。安全是馬拉松長跑，而不是短跑項(xiàng)目，這是因?yàn)閺S商不僅在連接產(chǎn)品的開發(fā)初期需要采用安全策略，在使用周期內(nèi)也要維持安全。

因此，在產(chǎn)品設(shè)計(jì)的早期階段就考慮安全性是非常重要的，產(chǎn)品設(shè)計(jì)師要考慮產(chǎn)品的功能和非功能要求，比如電池使用壽命或用戶界面。

然而，過去物聯(lián)網(wǎng)安全一直難以實(shí)現(xiàn)，因?yàn)槲锫?lián)網(wǎng)安全需要各方齊心協(xié)力，但業(yè)界始終缺乏共同的語言和標(biāo)準(zhǔn)化的流程、實(shí)施和認(rèn)證操作。

這種各自為政的情況導(dǎo)致物聯(lián)網(wǎng)設(shè)備的安全水平參差不齊，而且大多不夠安全。 PSA Certified IoT安全框架旨在解決這個(gè)難題，提供標(biāo)準(zhǔn)化的物聯(lián)網(wǎng)設(shè)備安全保護(hù)方法，包括安全分析、架構(gòu)、實(shí)施和認(rèn)證。

Nordic Semiconductor與物聯(lián)網(wǎng)安全生態(tài)系統(tǒng)全球領(lǐng)導(dǎo)者PSA Certified協(xié)同工作。PSA Certified硅片和信任根(Root of Trust)認(rèn)證為Nordic硅產(chǎn)品提供了安全保障，從而實(shí)現(xiàn)了安全的產(chǎn)品開發(fā)平臺(tái)。這樣確保使用Nordic物聯(lián)網(wǎng)解決方案創(chuàng)建先進(jìn)物聯(lián)網(wǎng)設(shè)備的制造商獲得足夠的安全指導(dǎo)。通過采用PSA方法論和培訓(xùn)材料，開發(fā)人員可以在保證安全的平臺(tái)上開發(fā)產(chǎn)品，同時(shí)增長安全專業(yè)知識(shí)。

法規(guī)和安全標(biāo)簽指日可待

以往，物聯(lián)網(wǎng)設(shè)備的安全性在很大程度上取決于產(chǎn)品類別。例如，工業(yè)和醫(yī)療等安全關(guān)鍵領(lǐng)域通常受到嚴(yán)格的安全法規(guī)約束，因此安全性較高。

然而，更多面向消費(fèi)者的設(shè)備沒有任何具體的監(jiān)管要求，產(chǎn)品的安全保護(hù)水平由各個(gè)設(shè)備制造商自行決定。

新的全球法規(guī)旨在解決某些產(chǎn)品類別的脆弱性問題，從而為每個(gè)物聯(lián)網(wǎng)產(chǎn)品創(chuàng)建共同的安全基線。不符合基線要求的產(chǎn)品，將無法進(jìn)入市場(chǎng)。

這類監(jiān)管示例有歐盟的無線電設(shè)備指令，這項(xiàng)指令最近得到了加強(qiáng)，針對(duì)在歐洲銷售的聯(lián)網(wǎng)產(chǎn)品強(qiáng)制提出網(wǎng)絡(luò)安全要求，而“網(wǎng)絡(luò)彈性法案(Cyber Resilience Act)” 將提供更多的保護(hù)。

在美國，從2021年起頒布的“改善國家網(wǎng)絡(luò)安全的行政命令”啟動(dòng)美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)的標(biāo)準(zhǔn)化工作。英國政府則頒布了“產(chǎn)品安全和電信基礎(chǔ)設(shè)施法案”，執(zhí)行網(wǎng)絡(luò)安全要求。

提高消費(fèi)者安全意識(shí)

除了頒布所有物聯(lián)網(wǎng)產(chǎn)品都要符合安全基線水平的法規(guī)外，各種標(biāo)簽計(jì)劃也在提高消費(fèi)者的安全意識(shí)，幫助他們了解不同設(shè)備的安全水平，做出更明智的選擇。

消費(fèi)者網(wǎng)絡(luò)安全標(biāo)簽的示例有：美國的物聯(lián)網(wǎng)（IoT）計(jì)劃、新加坡和芬蘭的網(wǎng)絡(luò)安全標(biāo)簽計(jì)劃（具有雙邊認(rèn)可），以及擬議中的澳大利亞網(wǎng)絡(luò)安全標(biāo)簽項(xiàng)目。

在全球范圍內(nèi)，連接設(shè)備的制造商、安裝商和消費(fèi)者的安全意識(shí)正在提升。隨著芯片和解決方案供應(yīng)商增加在安全領(lǐng)域的投資，設(shè)備制造商擁有了更堅(jiān)實(shí)的基礎(chǔ)來創(chuàng)建和部署數(shù)十億物聯(lián)網(wǎng)產(chǎn)品。

正如過去互聯(lián)網(wǎng)和蜂窩網(wǎng)絡(luò)的發(fā)展一樣，安全性也是物聯(lián)網(wǎng)實(shí)現(xiàn)規(guī)模化的關(guān)鍵支柱之一。

原作者：Nordic Semiconductor公司開發(fā)者市場(chǎng)經(jīng)理Tiago Monte