物联网有风险，入行需“安全”

物联网巨大的市场中，有着无限的机会。Ksdesmc

到2035年，将有1万亿台设备联网，对全球GDP产生5万亿美元的影响，可以想象到了那个时候，这将是一件多么令人兴奋的事。而且物联网具有逆转或影响气候变化、提高资源利用率的能力，并基本涵盖了我们今天和将来工作方式，能够更好地帮助疫情后的经济重建。Ksdesmc

“当然要实现这些，生态系统很重要。传统生态系统中，一般包括具有产品设计能力的OEM、具有平台的芯片合作伙伴、工具供应商，以及为实现最终目标而存在的各种应用。但是这些旧关系正在改变，新关系正在形成。”11月5日，在ASPENCORE举办的第三届“全球CEO峰会”上，IAR Systems公司旗下Secure Thingz创始人兼首席执行官Haydn Povey分享了他对于物联网时代风险和回报的看法。Ksdesmc

Ksdesmc

Secure Thingz创始人兼首席执行官，IAR Systems嵌入式安全解决方案部门总经理Haydn Povey通过视频分享主题演讲Ksdesmc

Haydn Povey是IAR Systems嵌入式安全解决方案部门的总经理，同时还是物联网安全基金会的创始成员——这是一个致力于物联网安全的非政府组织。他曾在Arm担任过10年的高级营销和业务开发职务，期间负责公司在物联网和M2M市场中的安全性战略和产品路线图，并领导了Cortex-M微处理器系列的开发和推介。Ksdesmc

多年安全领域的经验让Haydn觉得，从芯片到云、标识和预配、完备的供应链、独特定制和保护知识产权等能力，都是物联网生态系统“新关系”快速发展的组成部分。Ksdesmc

未来，公司高管将为网络攻击造成的损失负责

对于绝大多数人而言，当今物联网面临的最大挑战是安全性。根据英国DCMS的数据，超过45％的受访者表示，安全性正在阻碍物联网的普及。根据其他分析，如果安全性更好，超过70％的客户会增加物联网产品的购买量。Ksdesmc

而现实是，目前只有4％的物联网设备具有足够的安全性来满足当今的基本要求，同时全球有超过350万个网络安全职位空缺。这个领域面临的问题，确实需要通过使用工具来更好地解决，而不是简单地说教。Ksdesmc

另一个大问题是，谁将为应对这些安全挑战负责？传统上，公司在面临一些大问题时，承担责任的往往是整个公司层面，但物联网时代不一样了。Ksdesmc

据Gartner估计，到2024年，将有75％的CEO（或其他C级别高管）将对CPS（Cyber-Physical System，网络物理系统）攻击导致的系统事故承担个人责任。以美国为例，联邦调查局（FBI）、国家安全局（NSA）和网络安全与基础设施安全局（CISA）已经增加了关键基础设施相关系统威胁详细信息的提供频率，这类系统大多属于私人企业。 不久之后，CEO们将无法对网络安全问题导致的公司损失装傻，或者躲在保险政策后面。Ksdesmc

Gartner还预测，到2023年，网络物理系统攻击造成的的巨大财务影响将超过500亿美元。即使不考虑人生命的实际价值，赔偿、诉讼、保险、监管罚款带来的成本和声誉损失都将是巨大的。Ksdesmc

“所以现在起，安全性将升级为大多数C级别高管的关注重点，并像GDPR（General Data Protection Regulation，一般数据保护条例）和隐私问题一样被迅速纳入待办事项清单，并放在首位。”Haydn说到。Ksdesmc

安全问题带来的都是真金白银的损失

安全性或安全带来的问题，在整个产品生命周期中都具有现实影响，造成的都是真金白银的损失、影响的都是企业赖以生存的业务，甚至医院的网络安全出问题还会让患者丧命。Haydn举了两个例子：Ksdesmc

2019年，挪威海德鲁公司（Norsk Hydro）受到了网络攻击，据估计损失和恢复成本价值超过5200万美元，位列2019年 “最费钱的黑客攻击”第二名。Ksdesmc

在2020年9月，德国杜塞尔多夫大学医院( University Hospital of Düsseldorf )遭到勒索软件攻击，导致手术系统崩溃。一名急诊患者被迫转移到更远的医院治疗，错过了最佳抢救时间不幸死亡。Ksdesmc

Haydn表示，这些影响和攻击正变得越来越真实，越来越普遍，必须通过安全技术来制止这些恶意软件横行。虽然采用安全技术防御的潜在成本、影响以及因此产生的开销尚不明确，但提升安全性将切实地帮助到一些领域，例如知识产权（IP）保护和生产控制，同样，在许多系统中快速登陆时能够将设备直接连接到云，进行安全身份认证正变得非常重要。Ksdesmc

虽然目前有各种立法、行业标准和认证书规定了一些安全性的要求。立法方面目前正在进行审查，即将生效，这对于整个行业的管控是具有真正威力的，并推动整个行业的真正变革。Ksdesmc

从知识产权盗窃造成的经济影响来看，据ECIPE（European Centre for International Political Economy，欧洲国际政治经济学中心）估算，知识产权盗窃每年光是对欧盟就有600亿美元的经济影响。这个数字对现实世界经济的影响而言，令人难以置信，其结果可能会导致近30万个工作岗位的流失。Ksdesmc

此外，还有供应链中的假冒、山寨产品和灰色交易问题。经济合作与发展组织（OECD）估计这是一个每年产值高达5000亿美元的产业，几乎是爱尔兰和荷兰GDP的总和。虽然其中电子产品数量上可能不占大头，但肯定是价值最高的一类，这些假冒或山寨电子产品会影响我们整个行业。Ksdesmc

“我们怎么知道我们的汽车、飞机和消费电子产品里，用的都是什么器件呢？” Haydn说到，“因此，我们需要研究立法和标准的演变，以及作为一个行业，我们需要围绕这一点做些什么，并为物联网设计标准。”Ksdesmc

世界各地积极立法，规范物联网安全标准

立法虽然在不断发展，但这其实是由行业驱动的，至少在消费者领域自我监管不可行，因为这个领域存在着传统的竞争至上心态，或者说一切基于省钱或赚钱的目标。这也让普通消费者往往不能理解安全性的优缺点，因为厂商在宣传产品时很少以这个为卖点，一些物联网小产品也压根不具备足够的安全性。Ksdesmc

但一次次血的教训，让深受网络安全问题困扰的企业和利益相关者共同推动建立更强大的法律框架，对物联网产品安全提出具体要求。 在美国加利福尼亚州和俄勒冈州，已经对违反相关法律的企业实施了严厉惩罚；欧盟和英国这边，新的EN 303645规范即将完成。Ksdesmc

目前针对物联网安全立法的指导原则，大都是轻描淡写，虽然不够严苛，但仍然具有影响，让消费者的选择更有透明性、对比性，促进他们对相关话题的交流和分享；在产品设计端则提供了弹性，让系统在受到威胁时及时止损。Ksdesmc

Ksdesmc

从这张图上，可以看到欧盟和英国的消费者物联网法规立法现状Ksdesmc

Ksdesmc

在美国，加利福尼亚州和俄勒冈州已经在州一级立法，从今年1月1日开始销售的任何设备，都应满足法律要求，以确保足够的安全性Ksdesmc

Haydn表示，“联邦政府都没有做到这一步（EETC编按：美国是联邦制国家，各个州在联邦内部也被视为独立于联邦的国家主体，拥有很大的自主权，除了宪法规定的属于联邦的权力之外，其他的权力都是属于州的）。但最近的大选可能会对此产生影响。”Ksdesmc

早在9月，美国众议院一致通过了《物联网网络安全改进法案》（IoT Cybersecurity Improvement Act [H.R. 1668]），该法案要求国土安全部以及网络安全和基础设施安全机构（DHS/CISA）提供一个法律框架，保障消费者的网络安全。负责建立标准的是美国国家标准与技术研究院（National Institute of Standards and Technology，NIST），目前标准是IR 8259。Ksdesmc

欧盟和美国确实在朝着标准和立法迈进，这也正在影响亚太地区和大洋洲——Ksdesmc

在奥运会之前，日本内务省就立法定义了物联网设备；韩国KISA（互联网和安全机构）在2020年2月着手推动物联网服务规划指南；中国方面，则由政府支持的工作组发布了官方标准；新加坡正式采用英国DCMS的指导原则；澳大利亚则采用“自愿性物联网消费者行为准则”（Voluntary IoT Consumer Code of Practice）。Ksdesmc

工业物联网标准先行

Ksdesmc

其实在消费类物联网之外，我们看到工业领域的物联网已经实施了不少标准，其中最相关的是ISA/IEC 62443。该标准的有趣之处在于，它已成为全球政府采购决策中的强制性规定。 如果你要布建一个控制系统或智慧城市系统，则相关产品必须符合该标准。“鉴于现在每个厂商的系统都不同，因此几乎在使用前都必须适当地进行编码。有趣的是，这在多大程度上影响了需求？” Haydn说到。Ksdesmc

Ksdesmc

ISA/IEC 62443不同要求的细目分类，点击查看获取详细法规PDF版下载链接Ksdesmc

法规中对于安全级别的定义，是最重要的部分，因为它设定了安全操作的级别。从下图来看，对于大多数现代物联网应用要达到第2级或第3级安全。当然，所有设备都至少需要具备1级的基本保护能力，以防止偶发的攻击，但如果攻击再强一些，例如心怀不满的员工蓄意破坏，或恶意软件机器人，这就需要上升到了2级安全标准了。Ksdesmc

Ksdesmc

第3级开始，防护重点在于不受复杂手段、特殊技能和动机的伤害。这一级最典型攻击是勒索软件，Haydn表示，“我们已经见过很多非常高级的攻击，比如前面提到针对挪威海德鲁公司的攻击。更高层次防护是复杂的，意味着需要扩展更多资源和高度机动性，因为在4级安全定义中，最典型的就是针对国家层面的攻击。需要再次强调的是，这确实包括应对一些有组织的犯罪和高级勒索软件攻击。”Ksdesmc

虽然这些东西听起来像詹姆斯·邦德（James Bond，《007》男主角）或者杰森·伯恩（Jason Bourne，《谍影重重》男主角）等间谍小说里的东西，但确实是任何工业自动化控制系统都必须要防御的攻击，无论是在汽车平台，还是在工业机器人或者是在街道照明上。Ksdesmc

那么，如何在不增加成本和复杂性的情况下，通过设计确保安全?Ksdesmc

安全设计应从设计之初，贯彻到量产

回到消费者物联网的行业准则，在所谓的“13个最佳准则”（13 Best Practices）中，有三个最应该关注。Ksdesmc

Ksdesmc

没有默认密码首当其冲，因为这给了社交型攻击机会。重置设备或许可以让其功能恢复，但实际上也给了坏人得到密码的机会。Ksdesmc

“第二点是必须让漏洞披露平台运转起来，这对于确保所有客户、用户都意识到风险非常重要，这些风险将存在于任何设备中。” Haydn表示，“当然，如果有了漏洞披露政策，还必须遵循第三点——保持软件更新的能力。这类良好的安全习惯实施起来非常非常困难。”Ksdesmc

从开发的角度来看，要在整个物联网平台上开发唯一身份实现起来非常困难。即每个设备都真正具有唯一的标识，并且可以对其进行唯一寻址、唯一更新和唯一管理，这重要到会影响整个开发和生产流程。Ksdesmc

Ksdesmc

这需要新一代的工具，虽然目前已经有一些方法可以实现上述功能，但是Haydn肯定地说，还有其他方法能使这一切变得更容易，不需要消费者和开发人员去了解加密基元、根证书颁发机构和中间证书这些晦涩难懂的东西，只需通过操作向导和简单的复选框就能实现支持。Ksdesmc

但是作为开发人员要有一种思维上的转变，那就是将安全性放在开发的首位，将其贯彻应用于原型设计中，为将来的批量生产打好样。一个硬件安全模块，可确保安全地生成信任/身份根，并将其配置（编程）到目标设备中。Ksdesmc

Ksdesmc

如果在所有连接的设备中大规模进行此操作，难度很大，但是现在这是强制性的。 如何进行大规模的安全配置和编程？Haydn认为，它应该非常简单，就像包含一个用于密钥生成的证书框架，以便将原型扩展到大批量生产。Ksdesmc

关于实施漏洞披露的政策，Haydn介绍了他们的漏洞披露平台。该平台允许任何开发人员注册并披露漏洞信息，显示受影响的软件版本，并允许披露受到威胁的硬件产品。他认为其实每个行业组织、OEM、芯片厂商、工具供应商都必须制定自己的披露政策，必须有高管为此负责。同时必须与消费者保持联络和良好的沟通。而不幸的是，目前整个行业在这一领域做得非常差。Ksdesmc

交付生命周期管理方面，虽然有很多机制可以做到这一点，但基本上在每个层面上都可能存在折中。现实情况是，更新机制越小，系统引导过程越早，效果也会越好。这就是为什么要采用构建健壮（robust）、安全的启动管理器的方法，它支持通过任何一种机制来加载内存，这些机制可以保障签名、加密、格式、版本和更新正确。Ksdesmc

Ksdesmc

这也可以在操作系统中以及通过应用程序完成，具体取决于许多级别。在大多数情况下，会有多个级别的更新。 但从根本上讲，必须假定任何复杂程度的软件都将充满妥协，而且我们必须能够适当地进行恢复、修复和更新，因此需要从一开始就具有安全性。Ksdesmc

总结

“安全实际上是一种高价值的能力，这不是成本。”Haydn说到，“它可以保护您和您的客户IP免受盗窃，保护用户免受恶意软件侵害。消费者物联网的安全性已经受到法律约束，不幸的是，很少有公司准备就绪。”Ksdesmc

虽然工业物联网已经有了一些强大的安全标准，这些标准现在已成为许多组织的采购要求，但并不是所有你需要的组件都能符合要求。Haydn建议阅读工业物联网规范以及EN 303645标准，以更好地适应不断变化的经济形态。Ksdesmc

“作为一家工具开发公司，我会尽量把物联网潜在的风险说出来，但是用好了工具确实可以使安全性变得简单。”Haydn总结道，“这应该不难，您也不必是专家，只需按图索骥来便可以将标准化的安全推广到每个角落。我认为物联网时代有很多潜在的回报，也有很多风险，但是通过工具、芯片和应用程序协同作用，我们就可以确保连接的安全。”Ksdesmc