信息化觀察網(wǎng)

要求物聯(lián)網(wǎng)設(shè)備經(jīng)過安全認(rèn)證是完全沒有道理的。

法規(guī)是笨拙的工具，最好留到最后使用。網(wǎng)絡(luò)安全法規(guī)并不靈活，往往在制定之日就已過時(shí)，并成為行業(yè)遵循的最低門檻。這扼殺了安全創(chuàng)新和最佳實(shí)踐的應(yīng)用。從好的方面來看，法規(guī)確實(shí)迫使那些忽視基本安全實(shí)踐的行業(yè)達(dá)到了一個(gè)共同的標(biāo)準(zhǔn)。但歷史表明，這些行業(yè)很少會(huì)超出監(jiān)管要求。我們每周在新聞中看到的所有數(shù)據(jù)泄露事件中，幾乎所有這些組織都遵守了法規(guī)要求，但他們正在丟失數(shù)十億條數(shù)據(jù)記錄。合規(guī)不等于安全！

然而，有些人在游說政府，鼓吹物聯(lián)網(wǎng)認(rèn)證法規(guī)。我發(fā)現(xiàn)他們的想法是短視且不成熟的。

在某些情況下，法規(guī)是絕對(duì)必要的，但僅適用于具體的應(yīng)用以實(shí)現(xiàn)特定目標(biāo)。在某種程度上，保護(hù)在線兒童的隱私，保護(hù)敏感的醫(yī)療記錄，或要求對(duì)信用卡交易進(jìn)行控制，這些都在一定程度上納入了法規(guī)范圍。

我是一名熱情的安全倡導(dǎo)者，有些人甚至說我是狂熱分子，但我不喜歡這種要求物聯(lián)網(wǎng)設(shè)備進(jìn)行安全認(rèn)證的想法。它太過寬泛，破壞了推動(dòng)快速創(chuàng)新的經(jīng)濟(jì)模式。

對(duì)于手機(jī)、平板電腦、個(gè)人計(jì)算機(jī)或服務(wù)器，我們不需要此類認(rèn)證。那么，為什么有人會(huì)認(rèn)為要求對(duì)低功耗物聯(lián)網(wǎng)設(shè)備進(jìn)行認(rèn)證是一個(gè)好策略？

認(rèn)證會(huì)增加產(chǎn)品開發(fā)的時(shí)間和成本。物聯(lián)網(wǎng)設(shè)備的用途非常廣泛，而且往往比功能齊全的計(jì)算系統(tǒng)更便宜。此外，認(rèn)證規(guī)模是另一個(gè)問題，因?yàn)槲锫?lián)網(wǎng)設(shè)備的數(shù)量很快將超過500億臺(tái)。確定誰將對(duì)全新類別的設(shè)備進(jìn)行認(rèn)證以及將接受哪些標(biāo)準(zhǔn)的過程是一場(chǎng)噩夢(mèng)。并且在如此大的規(guī)模上，執(zhí)行這些要求將是昂貴的，也是一場(chǎng)噩夢(mèng)。官僚主義和成本會(huì)給市場(chǎng)增加巨大的摩擦，會(huì)讓許多公司和產(chǎn)品望而卻步。

毫無疑問，物聯(lián)網(wǎng)需要更大的安全性，但建議過于寬泛的法規(guī)為時(shí)過早，并且可能損害從智能設(shè)備中受益的每個(gè)人。還有許多其他選擇和解決方案，它們可以以更低的成本提供更好的保護(hù)，而不會(huì)災(zāi)難性地阻礙創(chuàng)新、競(jìng)爭(zhēng)力和健康的市場(chǎng)周期。建立用于設(shè)計(jì)和認(rèn)證的標(biāo)準(zhǔn)、最佳實(shí)踐是一個(gè)很好的開始。推動(dòng)消費(fèi)者認(rèn)可并重視安全設(shè)計(jì)，可以為制造商相互競(jìng)爭(zhēng)創(chuàng)造競(jìng)爭(zhēng)優(yōu)勢(shì)。此外，開放的漏洞獎(jiǎng)勵(lì)、公共安全研究以及滲透測(cè)試認(rèn)證的共享將推動(dòng)物聯(lián)網(wǎng)行業(yè)更好的流程。

如果這些做法沒有被采納或采用不夠充分，那么我們應(yīng)該討論監(jiān)管問題。但是首先，我們必須尋求更優(yōu)化的途徑來與物聯(lián)網(wǎng)行業(yè)建立安全伙伴關(guān)系，以便生態(tài)系統(tǒng)能夠更好地適應(yīng)不斷變化的威脅，支持創(chuàng)新，并值得所有人信賴。讓我們不要急于制定僵化的法規(guī)模式，因?yàn)樗鼈儍H應(yīng)被視為最后的選擇。