物联网开发人员致力于解决潜在的网络安全问题

最近几个月，物联网(IoT)行业因提供不安全系统而面临的法律诉讼威胁显著升级。各国政府和机构已经明确表示，不能再维持松懈的安全现状，他们正在采取措施与之斗争。

今年早些时候，美国联邦贸易委员会(FTC)对一系列D-Link路由器产品的安全性不足提起诉讼，据称这些产品导致了去年全球Mirai分布式拒绝服务攻击，该诉讼仍在进行中。虽然D-Link强烈反对这一说法，并努力捍卫这一行动，但人们普遍预计政府和消费者会针对物联网安全薄弱采取其他行动。

今年7月，美国联邦调查局(FBI)发布了一份公开指南，鼓励家长举报与互联网相连的儿童玩具的安全漏洞，此前发生了多起与儿童个人有关的数据可能容易受到犯罪分子攻击的事件。联邦调查局表示，如果制造商被发现在数据安全方面有所欠缺，他们将面临联邦贸易委员会的法律行动。

在该建议发布后不久，很明显，英国当局也在密切关注糟糕的物联网安全问题。警察局长迈克·巴顿负责国家警察局长委员会的犯罪行动，他警告说，随着越来越多的普通家庭物品连接到互联网，物联网的危险正在增加。他敦促消费者对所购买产品的安全性“做足功课”，从而在购买和使用方面做出适当的选择。

更严重的是，就经济处罚而言，英国政府在8月份证实，它打算在英国脱欧之前将欧盟委员会的《通用数据保护条例》(GDPR)完全纳入英国法律。这意味着，那些负责管理个人数据(包括通过物联网系统传输和存储在物联网数据库中的数据)的公司，如果发生最严重的数据泄露，将面临高达1700万英镑或全球营业额4%的罚款。

忙碌的时光

就物联网合规性而言，英国肯定是一个繁忙的时期，因为政府也提出了关于智能汽车和货车安全的要求。政府表示，它“担心”潜在的黑客可能会以车辆为目标获取个人数据，窃取使用无钥匙进入的汽车，甚至出于“恶意”控制汽车(换句话说，使其崩溃)。

新的政府指导意见要求，开发智能汽车的工程师必须加强网络保护，并帮助“设计”出黑客攻击。

与此同时，在美国，国会已经提出了一项法案，旨在阻止物联网设备，如果他们不能修补或密码容易更改-物联网安全方面的常见错误或困难。该法案还要求联邦机构只有在获得美国管理和预算办公室(OMB)的批准，并采取额外的安全措施的情况下，才能购买不合规的物联网设备。

关于最后一项倡议，安全供应商Tripwire的首席安全工程师特拉维斯·史密斯(Travis Smith)表示:“这项法案将有助于解决一些已知问题，这些问题每天都困扰着许多被黑客入侵的物联网设备。”

但是，他警告说，“为了使这项法案获得成功，需要激励供应商将他们的设备置于安全状态。”发布没有安全漏洞的设备既耗时又昂贵。由于这些设备中的许多都是商品，推迟上市时间或收取更高的成本可能不适合他们目前的商业模式。”

法律诉讼不可避免?

如果物联网设备制造商不采取行动，在当前围绕这一问题的政治和媒体氛围中，法律行动几乎是不可避免的。这种行动的表现方式当然因国而异。至于英国，保险和风险律师事务所BLM的合伙人丹尼尔•韦斯特(Daniel West)表示:“通常情况下，与产品责任相关的安全索赔通常是由于《1987年消费者保护法》(Consumer Protection Act 1987)规定的缺陷，或者由于产品未达到令人满意的质量要求而违反合同。

“然后，法院需要确定物联网产品缺乏安全性是否会被归类为缺陷或产品缺乏令人满意的质量，如果是这样，将采取法律行动。”

然而，韦斯特补充说，这类案件也有“因果关系问题”需要考虑。例如，如果一辆车有一个锁系统，但被认为不足以防止小偷偷走它，那么小偷就应该对偷窃负责，而不是缺乏安全性。同样，如果物联网设备被黑客攻击而造成损害，则应将损害视为黑客造成的，而不是缺乏安全性，“限制了这些索赔的可能性”，韦斯特说。

安全解决方案公司Positive Technologies的网络安全弹性负责人Leigh-Anne Galloway表示，潜在的声誉损害也与法律威胁密切相关。她说:“诉讼的威胁和声誉受损的可能性可能会严重影响安全，因为声誉损失也意味着收入损失。”“对脆弱性的宣传和公开讨论也可能发挥重要作用。”

加洛韦继续说道:“例如，在Mirai攻击影响了德国电信(Deutsche Telekom)的客户路由器之后，这家电信公司表示，将审查其与Speedport路由器供应商Arcadyan Technology的业务关系，因为所有三款有缺陷的路由器都来自这家供应商。”

尽职调查与尽职注意

黑鸭软件公司安全战略副总裁迈克·皮滕格是物联网系统开源软件安全方面的专家。他说，如果名誉受损还不够，安全落后者就有被淘汰的风险。他说:“企业经常谈论安全尽职调查。这通常指的是对行动或供应链关系所带来的风险的理解。

另一方面，律师们讨论的是应有的谨慎。这指的是一个实体为了合理地确保自己的行为不会对他人造成伤害而采取的行动。”他说，一个合理的公司，按照应有的谨慎标准，是不会制造和销售没有刹车的汽车的。这不仅会使司机，也会使行人和其他司机处于危险之中。皮滕格说:“这样做的公司可能会被起诉到破产。”他还指出了将不安全的物联网产品完全排除在外的举措。

除了潜在的法律行动，现在还存在阻止不安全设备接入互联网的威胁。皮滕格说:“在美国，参议员马克·华纳已经要求联邦通信委员会指导互联网服务提供商如何在遵守《开放互联网命令》的同时做出回应，该命令禁止拒绝非有害设备接入互联网服务提供商的网络。阻止制造商的设备(有害的)接入网络肯定会影响该公司的收入。”

不安全的物联网设备正在将互联网和那些依赖于可靠通信渠道的服务置于危险之中。很快，政府机构和消费者可能会觉得受够了。

安东尼斯是商业互联网的编辑。本文原文出现在这里。商业互联网是CFE媒体的内容合作伙伴。Chris Vavra编辑，CFE Media，cvavra@cfemedia.com。

在线额外

请参阅下面链接的关于物联网(IoT)的其他故事。

原创内容可在internetofbusiness.com。

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。