计算机作为一种电子设备,如今已被广泛地应用到生活当中的各行各业,虽然这给人们的生活带来了高效性与便利性,但计算机安全也是个棘手问题。问问美国人事管理局(Office of Personnel Management)吧,该机构在7月9日承认2200万政府雇员的敏感个人信息被黑客窃取。或者问问大型保险公司Anthem,它在1月公布其8000万客户记录被盗。还有美国国家安全局,它在2013年遭遇了史上最大的泄密事件,项目外包商爱德华·斯诺登(Edward Snowden)携带其大量机密文件出逃。
不幸的是,这一问题还会更加棘手。计算机已从桌面被装进了人们的口袋,如今更是嵌入到汽车、电视、玩具、冰箱、工业套件等各种各样的设备中。网络设备制造商思科估计目前联网设备达150亿台,到2020年这一数字可能攀升至500亿。设备联网的支持者们信誓旦旦,说一个充斥着联网计算机和传感器的世界将无比便利高效。他们称之为“物联网”。
计算机安全人员则将其称之为一个正在酝酿的灾难。他们担心,生产联网部件的公司匆匆把产品推出市场,并未汲取互联网早年的教训。上世纪八九十年代的大型计算机公司对安全问题后知后觉。只有当电脑病毒、黑客攻击这类威胁显而易见时,微软、苹果等公司才着手补救。但相比防患于未然,亡羊补牢要难得多。
物联网正在重蹈覆辙。把日常物品变为计算设备的风险已经浮现。在一个案例中,一名黑客发现他可以远程控制自己的药泵,影响输药剂量。还有黑客曾让新车的刹车和转向系统失灵。网络罪犯是富有创意的一批人。举例来说,将来电脑化的洗衣机或冰箱可能会被篡改程序,用来发送垃圾邮件或存放儿童色情内容。又或者,电脑联网的房门会要挟你交出比特币赎金,否则不让你进门。
三个手段有助于让物联网变得不那么脆弱
首先要建立一些基本的监管标准。应该要求部件制造商确保产品在出售后发现的安全漏洞也能通过补丁修复。如果一台设备可以被远程管理,必须强制用户更改默认用户名及密码,以防黑客利用默认设置进入系统。已经在美国大多数州实施的安全漏洞法规应当责成公司坦承问题,而非隐瞒。
第二道防线是建立妥善的赔偿责任制度。几十年来,软件厂商一直在许可协议中对使用其产品的任何不良后果列出免责条款。随着计算机被集成到从汽车到医疗设备的各式产品之中,这样的立场将变得站不住脚。举例而言,软件开发人员可能不得不接受对产品使用常态的假定,一旦违背假定,他们会面临法律诉讼的风险。保险公司、制造商及开发人员还是尽早开始研究解决这些问题为妙。
第三,各行各业的公司都必须重视计算机公司早已领受过的教训。编写万无一失的代码几无可能。所以,开放的氛围是最好的防范,因为这有助于传播补救方案。曾有学术研究人员联系大众汽车的一家芯片供应商,称发现了其遥控车钥匙系统的一个漏洞。大众汽车却以申请法院禁令等方式回应。斩杀信使是行不通的。事实上,谷歌等公司现在会提供金钱奖励,或称“漏洞报告奖励(bug bounties)”,吸引黑客告知公司他们发现的漏洞详情。
30年前,未能正视安全问题的计算机厂商尚可托辞无知。如今借口不再。物联网将带来众多好处。规划应对其不可避免的缺陷,现在正是时候。