物联网网络安全：B计划是什么

最初发表于《IEEE安全与隐私》（2017年9月/10月）

8月，四位美国参议员提出了一项旨在改善物联网（IoT）安全性的法案。2017年的《物联网安全改进法案》（IoT Cybersecurity Improvement Act）是一项不太重要的法案。它没有规范物联网市场，没有特别关注任何行业，也没有强迫任何公司做任何事情，甚至没有修改嵌入式软件的法律责任。公司可以继续出售含有安全漏洞的物联网设备。

该法案所要做的就是利用政府的购买力来推动市场发展：政府购买的任何物联网设备都必须达到最低安全标准。它要求供应商确保这些设备不仅可以修补，而且应该以经过验证的方式及时修补，没有不可更改的默认密码，没有已知的漏洞。虽然它的安全性要求非常低，但可以极大地提高物联网设备当前堪忧的安全性（我参与起草了该法案的一些安全要求）。

该法案还将修改《计算机欺诈及滥用法案》（Computer Frand and Abuse）以及DMCA，以使安全研究人员能够研究政府购买的物联网设备的安全性。虽然该法案的豁免范围比我们行业所需的范围要窄得多，但这是一个很好的开始，甚至可能是该法案对你来说最好的部分。

但是，该法案有可能无法实施。我是在8月写的这篇专栏文章，如果到10月或更晚的时候读这篇文章，该法案可能已经消失了。如果举行听证会，那就不重要了。该法案将不会被任何委员会投票通过，也不会出现在任何立法日程上。基于种种政治因素，该法案成为法律的概率是零。

但是目前情况很危急，互联网变得非常危险，因为物联网不仅赋予了互联网“眼睛”和“耳朵”，也给了它“手”和“脚”。曾经只影响位和字节的安全漏洞和黑客攻击现在也会影响到心。

正如我们在过去一个世纪中反复认识到的那样，依靠市场机制来提高服务和产品的安全性是非常糟糕的。汽车、食品、餐馆、飞机、消防、金融仪器的安全性都是如此。原因很复杂，但从根本上说，卖方不会在安全功能方面展开竞争，因为买方无法基于安全考虑有效地区分产品。市场机制可以使产品和服务价格降到最低，但是这样一来产品质量也将无法保障。没有政府的干预，物联网将会一直存在非常危险的因素。

美国政府并不想干预，因此我们不会看到严格的安全法规、新的联邦机构或更好的法律。我们在欧盟可能会有更好的机会。根据《数据隐私一般数据保护条例》（General Data Protection Regulation）的实施情况，欧盟可能会在5年内通过类似的安全法。没有一个国家有足够大的市场份额来有所作为。

有时我们可以选择使用不联网的设备，但是这种机会越来越少了。去年，我试着买一辆不能联网的汽车，但是失败了。几年之内，几乎不可能还有完全不连接到物联网的设备。而且，我们最大的物联网安全风险将不会来自与我们有市场关系的设备，而是来自其他所有人的汽车、相机、路由器、无人机等。

安全专家可以尝试购买理想产品并要求更高的安全性，但是公司不会在物联网设备安全性方面展开竞争，而且安全专家只是很小一个市场，并不足以让这些公司做出改变。

我们需要一个计划B，尽管我不确定这是什么。如果你有任何想法，请发表评论。