对此IoTSF管理总监John Moor接受《EE Times》访问时指出:“我们虽然还没有针对该比例这么低的原因进行正式研究,但我认为首先是业者缺乏认知,因为很多公司都是才刚进入连网嵌入式系统领域;其次,也最重要的是,这个问题没有责任归属,因为没有相关法规,所以有些公司根本不想自找麻烦。”
但是,这其实花不了什么成本,最简单的安全漏洞通报系统只需要建立一个网页。业者缺乏认知是最大的问题;Moor表示,连网嵌入式设备的激增,“正剧烈改变电子设计以及对现场支持的要求。”他指出,为那些在传统上与外界隔绝的嵌入式设备添加链接性与软件功能,大大增加了系统以及它们链接对象之攻击面(attack surface)。
一直到最近,安全漏洞通报程序都不是电子工程师或是他们的主管非常在意的事情,但这对于物联网设备来说是基本安全性要求。但就算是IoTSF调查中那44家拥有安全漏洞通报措施的公司,其通报程序也是五花八门而且复杂。
IoTSF报告显示,超过三分之一的业者并没有设置通报时程以取得最佳效果,其中只有4家订定了90天的修正安全性问题期限。在这44家厂商中只有不到一半提供某种形式的错误通报奖励──给予金钱上的奖励,能让白帽黑客们更愿意将发现到的安全漏洞通报业者,而不是将之出售到“黑市”。
一项针对全球消费性物联网设备制造商的最新年度调查显示,拥有安全漏洞通报措施的业者比例,只比去年增加一点点。(图片来源:IoT Security Foundation)
“安全漏洞通报至关重要,”Moor强调:“如果你有一个能让任何人──包括客户、使用者、研究人员、白帽黑客──提供通报的管道,你就拥有了能及时修正问题的情报系统。”
即将订定的标准将带来强制规范
美国国土安全部(U.S. Department of Homeland Security)已经提出保护物联网设备安全的建议,美国国家标准暨技术研究院(NIST)也公布了一份“给物联网设备制造商的建议”;IoTSF则为物联网设备开发者们提供“安全设计最佳实例指南”。
包括欧洲电信标准协会(European Telecommunications Standards Institute,ESTI)等,则提案订定国际性的物联网安全标准;还有英国最近宣布将订定物联网安全法,将安全漏洞通报列为强制性规范。澳洲政府也有相关的行为准则提案。
“虽然那些标准提案不尽相同,基本上都在描述相同的事情;”Moor表示,目前实际可用的安全漏洞处理程序标准是ISO/IEC 30111,2014与2015年的版本已经免费公开,但2019年版则受版权保护:“这会带来虽然低但是值得注意的一个门坎。”
