要求物联网设备通过安全认证是完全不合理的。
法律法规是一种笨拙的工具,最好留到最后使用。网络安全法规不灵活,制定之日往往过时,成为行业遵循的最低门槛。这扼杀了安全创新和优秀实践的应用。从好的角度来看,法律法规确实迫使忽视基本安全实践的行业达到共同标准。但历史表明,这些行业很少超出监管要求。在我们每周在新闻中看到的所有数据泄露事件中,几乎所有这些组织都遵守法律法规的要求,但他们正在丢失数十亿条数据记录。合规不等于安全!
然而,有些人在游说政府,提倡物联网认证法规。我发现他们的想法是短视和不成熟的。
在某些情况下,法规是绝对必要的,但仅适用于具体的应用以实现特定目标。在某种程度上,保护在线儿童的隐私,保护敏感的医疗记录,或要求对信用卡交易进行控制,这些都在一定程度上纳入了法规范围。
我是一个热情的安全倡导者,有些人甚至说我是一个狂热的人,但我不喜欢要求物联网设备进行安全认证的想法。它过于宽泛,破坏了促进快速创新的经济模式。
对于手机、平板电脑、个人电脑或服务器,我们不需要这样的认证。那么,为什么有些人认为认证低功耗物联网设备是一个很好的策略呢?
认证会增加产品开发的时间和成本。物联网设备应用广泛,通常比功能齐全的计算系统便宜。此外,认证规模是另一个问题,因为物联网设备的数量很快就会超过500亿台。确定谁将认证新类别的设备以及将接受哪些标准是一场噩梦。在如此大的规模下,执行这些要求将是昂贵和噩梦。官僚主义和成本将给市场增加巨大的摩擦,并阻止许多公司和产品。
毫无疑问,物联网需要更大的安全性,但建议过于宽泛的法律法规过早,并可能损害每个从智能设备中受益的人。还有许多其他的选择和解决方案,它们可以以更低的成本提供更好的保护,而不会灾难性地阻碍创新、竞争力和健康的市场周期。建立设计和认证的标准和优秀的实践是一个很好的开始。促进消费者认可和重视安全设计,可以为制造商创造竞争优势。此外,开放的漏洞奖励、公共安全研究和渗透测试认证的共享将促进物联网行业更好的过程。
如果这些做法没有得到充分的采纳或采用,那么我们应该讨论监管问题。但首先,我们必须寻求更好的方式与物联网行业建立安全伙伴关系,以便生态系统能够更好地适应不断变化的威胁,支持创新,并值得信赖。让我们不要急于制定僵化的法律法规模式,因为它们只应该被视为最终的选择。