物联网有风险,入行需“安全”对于绝大多数人而言,当今物联网面临的最大挑战是安全性。根据英国DCMS的数据,超过45%的受访者表示,安全性正在阻碍物联网的普及。根据其他分析,如果安全性更好,超过70%的客户会增加物联网产品的购买量。而现实是,目前只有4%的物联网设备具有足够的安全性来满足当今的基本要求,同时全球有超过350万个网络安全职位空缺……
物联网巨大的市场中,有着无限的机会。cMeesmc
到2035年,将有1万亿台设备联网,对全球GDP产生5万亿美元的影响,可以想象到了那个时候,这将是一件多么令人兴奋的事。而且物联网具有逆转或影响气候变化、提高资源利用率的能力,并基本涵盖了我们今天和将来工作方式,能够更好地帮助疫情后的经济重建。cMeesmc
“当然要实现这些,生态系统很重要。传统生态系统中,一般包括具有产品设计能力的OEM、具有平台的芯片合作伙伴、工具供应商,以及为实现最终目标而存在的各种应用。但是这些旧关系正在改变,新关系正在形成。”11月5日,在ASPENCORE举办的第三届“全球CEO峰会”上,IAR Systems公司旗下Secure Thingz创始人兼首席执行官Haydn Povey分享了他对于物联网时代风险和回报的看法。cMeesmc
cMeesmc
Secure Thingz创始人兼首席执行官,IAR Systems嵌入式安全解决方案部门总经理Haydn Povey通过视频分享主题演讲cMeesmc
Haydn Povey是IAR Systems嵌入式安全解决方案部门的总经理,同时还是物联网安全基金会的创始成员——这是一个致力于物联网安全的非政府组织。他曾在Arm担任过10年的高级营销和业务开发职务,期间负责公司在物联网和M2M市场中的安全性战略和产品路线图,并领导了Cortex-M微处理器系列的开发和推介。cMeesmc
多年安全领域的经验让Haydn觉得,从芯片到云、标识和预配、完备的供应链、独特定制和保护知识产权等能力,都是物联网生态系统“新关系”快速发展的组成部分。cMeesmc
对于绝大多数人而言,当今物联网面临的最大挑战是安全性。根据英国DCMS的数据,超过45%的受访者表示,安全性正在阻碍物联网的普及。根据其他分析,如果安全性更好,超过70%的客户会增加物联网产品的购买量。cMeesmc
而现实是,目前只有4%的物联网设备具有足够的安全性来满足当今的基本要求,同时全球有超过350万个网络安全职位空缺。这个领域面临的问题,确实需要通过使用工具来更好地解决,而不是简单地说教。cMeesmc
另一个大问题是,谁将为应对这些安全挑战负责?传统上,公司在面临一些大问题时,承担责任的往往是整个公司层面,但物联网时代不一样了。cMeesmc
据Gartner估计,到2024年,将有75%的CEO(或其他C级别高管)将对CPS(Cyber-Physical System,网络物理系统)攻击导致的系统事故承担个人责任。以美国为例,联邦调查局(FBI)、国家安全局(NSA)和网络安全与基础设施安全局(CISA)已经增加了关键基础设施相关系统威胁详细信息的提供频率,这类系统大多属于私人企业。 不久之后,CEO们将无法对网络安全问题导致的公司损失装傻,或者躲在保险政策后面。cMeesmc
Gartner还预测,到2023年,网络物理系统攻击造成的的巨大财务影响将超过500亿美元。即使不考虑人生命的实际价值,赔偿、诉讼、保险、监管罚款带来的成本和声誉损失都将是巨大的。cMeesmc
“所以现在起,安全性将升级为大多数C级别高管的关注重点,并像GDPR(General Data Protection Regulation,一般数据保护条例)和隐私问题一样被迅速纳入待办事项清单,并放在首位。”Haydn说到。cMeesmc
安全性或安全带来的问题,在整个产品生命周期中都具有现实影响,造成的都是真金白银的损失、影响的都是企业赖以生存的业务,甚至医院的网络安全出问题还会让患者丧命。Haydn举了两个例子:cMeesmc
2019年,挪威海德鲁公司(Norsk Hydro)受到了网络攻击,据估计损失和恢复成本价值超过5200万美元,位列2019年 “最费钱的黑客攻击”第二名。cMeesmc
在2020年9月,德国杜塞尔多夫大学医院( University Hospital of Düsseldorf )遭到勒索软件攻击,导致手术系统崩溃。一名急诊患者被迫转移到更远的医院治疗,错过了最佳抢救时间不幸死亡。cMeesmc
Haydn表示,这些影响和攻击正变得越来越真实,越来越普遍,必须通过安全技术来制止这些恶意软件横行。虽然采用安全技术防御的潜在成本、影响以及因此产生的开销尚不明确,但提升安全性将切实地帮助到一些领域,例如知识产权(IP)保护和生产控制,同样,在许多系统中快速登陆时能够将设备直接连接到云,进行安全身份认证正变得非常重要。cMeesmc
虽然目前有各种立法、行业标准和认证书规定了一些安全性的要求。立法方面目前正在进行审查,即将生效,这对于整个行业的管控是具有真正威力的,并推动整个行业的真正变革。cMeesmc
从知识产权盗窃造成的经济影响来看,据ECIPE(European Centre for International Political Economy,欧洲国际政治经济学中心)估算,知识产权盗窃每年光是对欧盟就有600亿美元的经济影响。这个数字对现实世界经济的影响而言,令人难以置信,其结果可能会导致近30万个工作岗位的流失。cMeesmc
此外,还有供应链中的假冒、山寨产品和灰色交易问题。经济合作与发展组织(OECD)估计这是一个每年产值高达5000亿美元的产业,几乎是爱尔兰和荷兰GDP的总和。虽然其中电子产品数量上可能不占大头,但肯定是价值最高的一类,这些假冒或山寨电子产品会影响我们整个行业。cMeesmc
“我们怎么知道我们的汽车、飞机和消费电子产品里,用的都是什么器件呢?” Haydn说到,“因此,我们需要研究立法和标准的演变,以及作为一个行业,我们需要围绕这一点做些什么,并为物联网设计标准。”cMeesmc
立法虽然在不断发展,但这其实是由行业驱动的,至少在消费者领域自我监管不可行,因为这个领域存在着传统的竞争至上心态,或者说一切基于省钱或赚钱的目标。这也让普通消费者往往不能理解安全性的优缺点,因为厂商在宣传产品时很少以这个为卖点,一些物联网小产品也压根不具备足够的安全性。cMeesmc
但一次次血的教训,让深受网络安全问题困扰的企业和利益相关者共同推动建立更强大的法律框架,对物联网产品安全提出具体要求。 在美国加利福尼亚州和俄勒冈州,已经对违反相关法律的企业实施了严厉惩罚;欧盟和英国这边,新的EN 303645规范即将完成。cMeesmc
目前针对物联网安全立法的指导原则,大都是轻描淡写,虽然不够严苛,但仍然具有影响,让消费者的选择更有透明性、对比性,促进他们对相关话题的交流和分享;在产品设计端则提供了弹性,让系统在受到威胁时及时止损。cMeesmc
cMeesmc
从这张图上,可以看到欧盟和英国的消费者物联网法规立法现状cMeesmc
cMeesmc
在美国,加利福尼亚州和俄勒冈州已经在州一级立法,从今年1月1日开始销售的任何设备,都应满足法律要求,以确保足够的安全性cMeesmc
Haydn表示,“联邦政府都没有做到这一步(EETC编按:美国是联邦制国家,各个州在联邦内部也被视为独立于联邦的国家主体,拥有很大的自主权,除了宪法规定的属于联邦的权力之外,其他的权力都是属于州的)。但最近的大选可能会对此产生影响。”cMeesmc
早在9月,美国众议院一致通过了《物联网网络安全改进法案》(IoT Cybersecurity Improvement Act [H.R. 1668]),该法案要求国土安全部以及网络安全和基础设施安全机构(DHS/CISA)提供一个法律框架,保障消费者的网络安全。负责建立标准的是美国国家标准与技术研究院(National Institute of Standards and Technology,NIST),目前标准是IR 8259。cMeesmc
欧盟和美国确实在朝着标准和立法迈进,这也正在影响亚太地区和大洋洲——cMeesmc
在奥运会之前,日本内务省就立法定义了物联网设备;韩国KISA(互联网和安全机构)在2020年2月着手推动物联网服务规划指南;中国方面,则由政府支持的工作组发布了官方标准;新加坡正式采用英国DCMS的指导原则;澳大利亚则采用“自愿性物联网消费者行为准则”(Voluntary IoT Consumer Code of Practice)。cMeesmc
cMeesmc
其实在消费类物联网之外,我们看到工业领域的物联网已经实施了不少标准,其中最相关的是ISA/IEC 62443。该标准的有趣之处在于,它已成为全球政府采购决策中的强制性规定。 如果你要布建一个控制系统或智慧城市系统,则相关产品必须符合该标准。“鉴于现在每个厂商的系统都不同,因此几乎在使用前都必须适当地进行编码。有趣的是,这在多大程度上影响了需求?” Haydn说到。cMeesmc
cMeesmc
ISA/IEC 62443不同要求的细目分类,点击查看获取详细法规PDF版下载链接cMeesmc
法规中对于安全级别的定义,是最重要的部分,因为它设定了安全操作的级别。从下图来看,对于大多数现代物联网应用要达到第2级或第3级安全。当然,所有设备都至少需要具备1级的基本保护能力,以防止偶发的攻击,但如果攻击再强一些,例如心怀不满的员工蓄意破坏,或恶意软件机器人,这就需要上升到了2级安全标准了。cMeesmc
cMeesmc
第3级开始,防护重点在于不受复杂手段、特殊技能和动机的伤害。这一级最典型攻击是勒索软件,Haydn表示,“我们已经见过很多非常高级的攻击,比如前面提到针对挪威海德鲁公司的攻击。更高层次防护是复杂的,意味着需要扩展更多资源和高度机动性,因为在4级安全定义中,最典型的就是针对国家层面的攻击。需要再次强调的是,这确实包括应对一些有组织的犯罪和高级勒索软件攻击。”cMeesmc
虽然这些东西听起来像詹姆斯·邦德(James Bond,《007》男主角)或者杰森·伯恩(Jason Bourne,《谍影重重》男主角)等间谍小说里的东西,但确实是任何工业自动化控制系统都必须要防御的攻击,无论是在汽车平台,还是在工业机器人或者是在街道照明上。cMeesmc
那么,如何在不增加成本和复杂性的情况下,通过设计确保安全?cMeesmc
回到消费者物联网的行业准则,在所谓的“13个最佳准则”(13 Best Practices)中,有三个最应该关注。cMeesmc
cMeesmc
没有默认密码首当其冲,因为这给了社交型攻击机会。重置设备或许可以让其功能恢复,但实际上也给了坏人得到密码的机会。cMeesmc
“第二点是必须让漏洞披露平台运转起来,这对于确保所有客户、用户都意识到风险非常重要,这些风险将存在于任何设备中。” Haydn表示,“当然,如果有了漏洞披露政策,还必须遵循第三点——保持软件更新的能力。这类良好的安全习惯实施起来非常非常困难。”cMeesmc
从开发的角度来看,要在整个物联网平台上开发唯一身份实现起来非常困难。即每个设备都真正具有唯一的标识,并且可以对其进行唯一寻址、唯一更新和唯一管理,这重要到会影响整个开发和生产流程。cMeesmc
cMeesmc
这需要新一代的工具,虽然目前已经有一些方法可以实现上述功能,但是Haydn肯定地说,还有其他方法能使这一切变得更容易,不需要消费者和开发人员去了解加密基元、根证书颁发机构和中间证书这些晦涩难懂的东西,只需通过操作向导和简单的复选框就能实现支持。cMeesmc
但是作为开发人员要有一种思维上的转变,那就是将安全性放在开发的首位,将其贯彻应用于原型设计中,为将来的批量生产打好样。一个硬件安全模块,可确保安全地生成信任/身份根,并将其配置(编程)到目标设备中。cMeesmc
cMeesmc
如果在所有连接的设备中大规模进行此操作,难度很大,但是现在这是强制性的。 如何进行大规模的安全配置和编程?Haydn认为,它应该非常简单,就像包含一个用于密钥生成的证书框架,以便将原型扩展到大批量生产。cMeesmc
关于实施漏洞披露的政策,Haydn介绍了他们的漏洞披露平台。该平台允许任何开发人员注册并披露漏洞信息,显示受影响的软件版本,并允许披露受到威胁的硬件产品。他认为其实每个行业组织、OEM、芯片厂商、工具供应商都必须制定自己的披露政策,必须有高管为此负责。同时必须与消费者保持联络和良好的沟通。而不幸的是,目前整个行业在这一领域做得非常差。cMeesmc
交付生命周期管理方面,虽然有很多机制可以做到这一点,但基本上在每个层面上都可能存在折中。现实情况是,更新机制越小,系统引导过程越早,效果也会越好。这就是为什么要采用构建健壮(robust)、安全的启动管理器的方法,它支持通过任何一种机制来加载内存,这些机制可以保障签名、加密、格式、版本和更新正确。cMeesmc
cMeesmc
这也可以在操作系统中以及通过应用程序完成,具体取决于许多级别。在大多数情况下,会有多个级别的更新。 但从根本上讲,必须假定任何复杂程度的软件都将充满妥协,而且我们必须能够适当地进行恢复、修复和更新,因此需要从一开始就具有安全性。cMeesmc
“安全实际上是一种高价值的能力,这不是成本。”Haydn说到,“它可以保护您和您的客户IP免受盗窃,保护用户免受恶意软件侵害。消费者物联网的安全性已经受到法律约束,不幸的是,很少有公司准备就绪。”cMeesmc
虽然工业物联网已经有了一些强大的安全标准,这些标准现在已成为许多组织的采购要求,但并不是所有你需要的组件都能符合要求。Haydn建议阅读工业物联网规范以及EN 303645标准,以更好地适应不断变化的经济形态。cMeesmc
“作为一家工具开发公司,我会尽量把物联网潜在的风险说出来,但是用好了工具确实可以使安全性变得简单。”Haydn总结道,“这应该不难,您也不必是专家,只需按图索骥来便可以将标准化的安全推广到每个角落。我认为物联网时代有很多潜在的回报,也有很多风险,但是通过工具、芯片和应用程序协同作用,我们就可以确保连接的安全。”cMeesmc
微信扫一扫,一键转发
关注“国际电子商情” 微信公众号
一个有趣的数据,人的一生有90%的时间是在建筑和室内度过的。
你能想象到吗?外卖骑手的来电不是手机打出的,而是通过小哥头上的“头盔”打出的。
本月推荐5款芯片产品和模组。值得一提的是,英飞凌在本月频繁上新,带来的芯片涵括多个品类,让人眼前一亮。
客户承诺的结果就是实现公司自身的成长,比如说通过长期的供应协议,安森美希望未来3年,预计可实现40亿美元的碳化硅收入。为此安森美近来一直加大在碳化硅领域的资本支出。Hassane El-Khoury表示,安森美2022-2023年资本支出占总收入将会达到15%—20%,而主要的资本支出会投入到碳化硅领域。
近年来,随着汽车自动驾驶技术在全球的迅速兴起,引领了汽车产业的变革正。自动驾驶车辆上路之际,技术标准的规范,以及政策的支持也一直是行业内关注的焦点。
Wi-Fi系统出货量将以每年7.5%的速度增长。
国际电子商情31日讯 国内知名元器件分销商好上好今(31)日在深交所主板挂牌上市。本次公开发行的股票数量为2400万股,发行价格35.32元/股,发行市盈率为18.26倍,盘中一度涨停...
建立一个完善的物联网生态圈,需要攻克所有技术、应用等瓶颈,圈内企业要各司其职、尽好责任。当前,物联网产业链企业更关注哪些趋势?
从最初年产300万台、国民满意度第一名的电脑设备,到市场追捧的扫描仪,再到与华为、小米、阿里等巨头签约合作的智慧城市解决方案商,这家公司为何忽然宣布重整?
今年英伟达GTC开发者大会上,有个讨论度非常高的东西叫RTX Remix——这东西其实是给游戏做mod的。如果你玩过《上古卷轴》之类的游戏,应该就能体会到mod有多强大。
“单品智能的1.0时代里,博流是追随者;全屋智能的2.0时代,我们开始领先了。至于未来3.0时代,我认为现在的全屋智能,是一个狭义的范围概念,智能产品的核心是以人为中心的体验……”
随着物联网行业发展的提速,对网络基础设施的需求增加,加以云计算的普及,全球基础设施市场也迎来加大增长,Arm敏锐地看到了这个领域蕴含的市场潜力,并于2018年推出了Neoverse品牌并发布了对应的产品路线图。Arm Neoverse是Arm专为5G网络和下一代云端到边缘基础设施创立的基础设施级IP平台,覆盖核心数据中心到边缘的基础设施等应用领域。经过四年的不断升级与发展,Arm 宣布 Neoverse已经获得全球各个主要公有云的采用。
我国一些沿海省份也推出了类似的政策计划,力图利用ICT技术促进海洋经济发展,同时保持环境的可持续性。
2022年第三季度,中国大陆可穿戴腕带市场仍持续疲软,整体出货1210万台,同比下滑7.0%。
微软、苹果、惠普、联想、IBM、佳能等26家计算机软件信息服务企业2022年第三季度业绩。
大众旗下品牌斯柯达考虑退出中国市场。微软已经收购了Lumenisity Limited。爱立信与苹果签署全球专利许可协
LED大厂富采2022年以来受到景气衰退及消费型电子产品需求减弱影响,业绩不如预期,初估第四季营收可能低于上季
近日,多个半导体产业项目迎来新进展,涉及项目包括浙江丽水中欣晶圆12英寸硅片外延项目、西安第三代化合物半导
世界半导体贸易统计组织(WSTS)统计的数据显示,2021年全球半导体存储器市场规模约为1538亿美元。目前,存储市场长
众所周知,经过多年的发展布局,中国已经成为全球规模最大的集成电路市场之一。面对中国庞大的市场需求,近年来,一
上汽、比亚迪、北汽、长城、长安、蔚来等中国18家汽车企业2022年三季度财报汇总
台积电、三星、英特尔、高通、阿斯麦、中芯国际等34家半导体企业2022年第三季度财报汇总。
【招银研究|宏观点评】CPI通胀延续回落,PPI通胀低位企稳——2022年11月物价数据点评。
【招商银行|2023年展望④】资本市场:迎接转折之年
领先于智能电源和智能感知技术的安森美,12月9日宣布获ASPENCORE多个奖项,包括VE-Trac™ Direct SiC 获2022之
2022年12月9日,航顺芯片在深圳罗湖区的新总部,举办了HK32MCU 2022新品发布会暨航顺芯片大厦乔迁仪式。这家20
2022年12月7日,以通过与海洋栖息地和平共处,应对海岸侵蚀问题为使命的CCell公司,昨晚在伦敦力压群雄,从13个竞争
Qorvo与联发科协作设计支持 5G、Wi-Fi 6、Wi-Fi 6E 和 Wi-Fi 7……
对于愈加重视健康的现代人而言,抬腕看表,已远不止于看时间:运动时,实时监测心率和燃脂水平;起床后,查看整夜血氧监
2022年7月,人力资源与社会保障部发布第二季度《全国招聘大于求职“最缺工”的100个职业排行》 ,“焊工”赫然
2022年,百年变局与世纪疫情相互交织,“寒冬论”席卷而来,断裂性变化在各个领域全面爆发,产业链发展引擎更换顺势
据行业研究机构IDC预测,中国物联网市场规模将在2025年超过3000亿美元,占比全球约26.1%。安防行业作为物联网的
2022年11月11日,在2022国际集成电路展览会暨研讨会(IIC Shenzhen)的全球分销与供应链领袖峰会上,泰滔电子驻华
2022年11月15日,由芯师爷主办、慕尼黑华南电子展协办、深圳市半导体行业协会支持的“第四届硬核中国芯领袖峰
安森美与梅赛德斯-奔驰战略合作的一部分,是为这家汽车制造商提供高能效碳化硅(SiC)功率模块,以增加其VISION EQX
全球领先的综合电子元器件制造商村田中国(以下简称“村田”)在第十八届国际物联网展(IOTE)展出了针对工业级和消
分享到微信
分享到微博
分享到QQ空间
推荐使用浏览器内置分享
分享至朋友圈