História nám hovorí, že technológia nebude správne regulovaná, kým ľudia nezačnú umierať. Prečo bude IoT iný?
Pre Phila Kernicka, zakladateľa a technologického riaditeľa poradenskej spoločnosti CQR v oblasti informačnej bezpečnosti, nemôžu bezpečnostné a bezpečnostné štandardy pre internet vecí (IoT) prísť dostatočne skoro.
"V tejto oblasti som radikálny," povedal Kernick minulý týždeň novinárom v Sydney. „Ak sa pozriete na akýkoľvek priemysel, ktorý je nový, zostane neregulovaný, kým sa nedostane do bodu, kedy je šialený, a potom do toho vstúpi vláda a reguluje ho.
"V 70. rokoch s automobilovým priemyslom v USA to bolo presne tak," povedal.
Kernick mal na mysli dramatické zmeny v americkom automobilovom priemysle, ktoré nakoniec nasledovali po vydaní knihy politického aktivistu Ralpha Nadera v roku 1965. Nebezpečné pri akejkoľvek rýchlosti. Naderova práca nakoniec viedla k povinnej montáži bezpečnostných pásov, navrhovaniu karosérií áut na zníženie zranení chodcov a dokonca k opatreniam na zníženie znečistenia ovzdušia.
Priemysel sa, samozrejme, bránil týmto zmenám, pretože v 60. rokoch 20. storočia vyrábal balík, keď bohatí Američania kupovali najnovšie sériovo vyrábané automobilové módy. General Motors dokonca spustil kampaň obťažovania a zastrašovania Nadera.
Veľký vek výstavby železníc bol tiež prešpikovaný desaťročia katastrof pred zavedením účinnej signalizácie a bezpečnostných bŕzd.
„Hovoríme, že nechceme zastaviť inovácie, chceme vybudovať tento trh, myslíme si, že je užitočný. Autá a vlaky boli presne toto,“ povedal Kernick a internet vecí bude rovnaký.
Takže najprv musíme zabiť pár ľudí?
"Bohužiaľ, to sa stane," odpovedal Kernick presne na túto otázku.
Kernick je obzvlášť znepokojený medicínskymi a samoriadiacimi autami, kde, ako povedal, „v zásade neexistujú žiadne softvérové záruky“.
Drsné. Ale vezmite do úvahy, že počítačový softvér sa počíta ako „tovar“ podľa austrálskeho spotrebiteľského zákona, a preto musí byť „vhodný na daný účel“ a inak spĺňať spotrebiteľské záruky, ale iba vtedy, keď je softvér „druhu bežne získaného na osobné, domáce alebo domáce použitie alebo spotreba“. Je softvér zabudovaný v aute alebo zdravotníckom zariadení spotrebiteľským produktom?
Licencie na počítačový softvér tradične tvrdia, že sú oslobodené od požiadaviek vhodnosti na daný účel. Tabuľkový softvér ani nezaručuje, že sčíta čísla správne. S hroziacim nešťastím IoT by sa to možno malo zmeniť.
„Je tu bod, v ktorom musíme začať [hovoriť], že poskytovatelia softvéru majú povinnosť starať sa o to, aby produkty, ktoré poskytujú, boli vhodné na daný účel,“ povedal Kernick.
„Dobre, pre väčšinu vecí v poriadku. Ale keď ide o zabudované kardiostimulátory, keď ide o samoriadiace autá... sú niektoré vertikály, kde musíme ísť bezpečne, nie rýchlo."
Ľudia sa to snažia zmeniť. Austrálska aliancia internetu vecí (IoTAA) je navrhovanie bezpečnostného rámca pre austrálsky ekosystém internetu vecí. Toto stavia na myšlienke a Hodnotenie Cyber Kengaroo navrhol približne o tomto čase minulého roka, ktorý zasa stavia na návrh bezpečnostného hodnotenia hviezdičkami od Andrewa Jamiesona v máji 2016.
Všetky tieto návrhy majú jednu vec spoločnú: Ide o pokus premeniť bezpečnostné rozhodnutia na komerčný problém, a preto musia komerčné organizácie konať.
To je skvelé, ale dostane nás to len čiastočne. Strata podielu na tak rýchlo sa rozvíjajúcom trhu nebude dostatočným stimulom.
Rovnako ako autá a vlaky pred ním, aj internet smrteľných vecí bude musieť byť zničený zubami vládnych nariadení, aby bol skutočne bezpečný.
Súvisiace pokrytie
- Bezpečnosť internetu vecí: Udržať používateľov v strehu znamená zostať v strehu
- Bezpečnosť občianskych preukazov: Španielsko čelí chaosu v súvislosti s chybami v krypto čipoch
- Bug bounty hunter odhaľuje DJI SSL, kľúče firmvéru sú verejné už roky
- StartCom sa vypne, všetky certifikáty budú v roku 2020 zrušené
- Vaša najväčšia hrozba je vo vnútri vašej organizácie a pravdepodobne ste to tak nemysleli
- Video: Trendy podnikovej kybernetickej bezpečnosti, ktoré možno očakávať v roku 2018 (TechRepublic)
- Ako zabudovať vrstvený bezpečnostný model do procesu riadenia projektu (TechRepublic)
- Australian Broadcasting Corporation potvrdzuje únik údajov S3
- NASA vynaložila 1,4 miliardy dolárov na IT, ale problémy s riadením a bezpečnosťou zostávajú
- Čo je GDPR? Všetko, čo potrebujete vedieť o nových všeobecných nariadeniach o ochrane údajov