物联网有风险,入行需“安全”对于绝大多数人而言,当今物联网面临的最大挑战是安全性。根据英国DCMS的数据,超过45%的受访者表示,安全性正在阻碍物联网的普及。根据其他分析,如果安全性更好,超过70%的客户会增加物联网产品的购买量。而现实是,目前只有4%的物联网设备具有足够的安全性来满足当今的基本要求,同时全球有超过350万个网络安全职位空缺……
物联网巨大的市场中,有着无限的机会。sRzesmc
到2035年,将有1万亿台设备联网,对全球GDP产生5万亿美元的影响,可以想象到了那个时候,这将是一件多么令人兴奋的事。而且物联网具有逆转或影响气候变化、提高资源利用率的能力,并基本涵盖了我们今天和将来工作方式,能够更好地帮助疫情后的经济重建。sRzesmc
“当然要实现这些,生态系统很重要。传统生态系统中,一般包括具有产品设计能力的OEM、具有平台的芯片合作伙伴、工具供应商,以及为实现最终目标而存在的各种应用。但是这些旧关系正在改变,新关系正在形成。”11月5日,在ASPENCORE举办的第三届“全球CEO峰会”上,IAR Systems公司旗下Secure Thingz创始人兼首席执行官Haydn Povey分享了他对于物联网时代风险和回报的看法。sRzesmc
sRzesmc
Secure Thingz创始人兼首席执行官,IAR Systems嵌入式安全解决方案部门总经理Haydn Povey通过视频分享主题演讲sRzesmc
Haydn Povey是IAR Systems嵌入式安全解决方案部门的总经理,同时还是物联网安全基金会的创始成员——这是一个致力于物联网安全的非政府组织。他曾在Arm担任过10年的高级营销和业务开发职务,期间负责公司在物联网和M2M市场中的安全性战略和产品路线图,并领导了Cortex-M微处理器系列的开发和推介。sRzesmc
多年安全领域的经验让Haydn觉得,从芯片到云、标识和预配、完备的供应链、独特定制和保护知识产权等能力,都是物联网生态系统“新关系”快速发展的组成部分。sRzesmc
对于绝大多数人而言,当今物联网面临的最大挑战是安全性。根据英国DCMS的数据,超过45%的受访者表示,安全性正在阻碍物联网的普及。根据其他分析,如果安全性更好,超过70%的客户会增加物联网产品的购买量。sRzesmc
而现实是,目前只有4%的物联网设备具有足够的安全性来满足当今的基本要求,同时全球有超过350万个网络安全职位空缺。这个领域面临的问题,确实需要通过使用工具来更好地解决,而不是简单地说教。sRzesmc
另一个大问题是,谁将为应对这些安全挑战负责?传统上,公司在面临一些大问题时,承担责任的往往是整个公司层面,但物联网时代不一样了。sRzesmc
据Gartner估计,到2024年,将有75%的CEO(或其他C级别高管)将对CPS(Cyber-Physical System,网络物理系统)攻击导致的系统事故承担个人责任。以美国为例,联邦调查局(FBI)、国家安全局(NSA)和网络安全与基础设施安全局(CISA)已经增加了关键基础设施相关系统威胁详细信息的提供频率,这类系统大多属于私人企业。 不久之后,CEO们将无法对网络安全问题导致的公司损失装傻,或者躲在保险政策后面。sRzesmc
Gartner还预测,到2023年,网络物理系统攻击造成的的巨大财务影响将超过500亿美元。即使不考虑人生命的实际价值,赔偿、诉讼、保险、监管罚款带来的成本和声誉损失都将是巨大的。sRzesmc
“所以现在起,安全性将升级为大多数C级别高管的关注重点,并像GDPR(General Data Protection Regulation,一般数据保护条例)和隐私问题一样被迅速纳入待办事项清单,并放在首位。”Haydn说到。sRzesmc
安全性或安全带来的问题,在整个产品生命周期中都具有现实影响,造成的都是真金白银的损失、影响的都是企业赖以生存的业务,甚至医院的网络安全出问题还会让患者丧命。Haydn举了两个例子:sRzesmc
2019年,挪威海德鲁公司(Norsk Hydro)受到了网络攻击,据估计损失和恢复成本价值超过5200万美元,位列2019年 “最费钱的黑客攻击”第二名。sRzesmc
在2020年9月,德国杜塞尔多夫大学医院( University Hospital of Düsseldorf )遭到勒索软件攻击,导致手术系统崩溃。一名急诊患者被迫转移到更远的医院治疗,错过了最佳抢救时间不幸死亡。sRzesmc
Haydn表示,这些影响和攻击正变得越来越真实,越来越普遍,必须通过安全技术来制止这些恶意软件横行。虽然采用安全技术防御的潜在成本、影响以及因此产生的开销尚不明确,但提升安全性将切实地帮助到一些领域,例如知识产权(IP)保护和生产控制,同样,在许多系统中快速登陆时能够将设备直接连接到云,进行安全身份认证正变得非常重要。sRzesmc
虽然目前有各种立法、行业标准和认证书规定了一些安全性的要求。立法方面目前正在进行审查,即将生效,这对于整个行业的管控是具有真正威力的,并推动整个行业的真正变革。sRzesmc
从知识产权盗窃造成的经济影响来看,据ECIPE(European Centre for International Political Economy,欧洲国际政治经济学中心)估算,知识产权盗窃每年光是对欧盟就有600亿美元的经济影响。这个数字对现实世界经济的影响而言,令人难以置信,其结果可能会导致近30万个工作岗位的流失。sRzesmc
此外,还有供应链中的假冒、山寨产品和灰色交易问题。经济合作与发展组织(OECD)估计这是一个每年产值高达5000亿美元的产业,几乎是爱尔兰和荷兰GDP的总和。虽然其中电子产品数量上可能不占大头,但肯定是价值最高的一类,这些假冒或山寨电子产品会影响我们整个行业。sRzesmc
“我们怎么知道我们的汽车、飞机和消费电子产品里,用的都是什么器件呢?” Haydn说到,“因此,我们需要研究立法和标准的演变,以及作为一个行业,我们需要围绕这一点做些什么,并为物联网设计标准。”sRzesmc
立法虽然在不断发展,但这其实是由行业驱动的,至少在消费者领域自我监管不可行,因为这个领域存在着传统的竞争至上心态,或者说一切基于省钱或赚钱的目标。这也让普通消费者往往不能理解安全性的优缺点,因为厂商在宣传产品时很少以这个为卖点,一些物联网小产品也压根不具备足够的安全性。sRzesmc
但一次次血的教训,让深受网络安全问题困扰的企业和利益相关者共同推动建立更强大的法律框架,对物联网产品安全提出具体要求。 在美国加利福尼亚州和俄勒冈州,已经对违反相关法律的企业实施了严厉惩罚;欧盟和英国这边,新的EN 303645规范即将完成。sRzesmc
目前针对物联网安全立法的指导原则,大都是轻描淡写,虽然不够严苛,但仍然具有影响,让消费者的选择更有透明性、对比性,促进他们对相关话题的交流和分享;在产品设计端则提供了弹性,让系统在受到威胁时及时止损。sRzesmc
sRzesmc
从这张图上,可以看到欧盟和英国的消费者物联网法规立法现状sRzesmc
sRzesmc
在美国,加利福尼亚州和俄勒冈州已经在州一级立法,从今年1月1日开始销售的任何设备,都应满足法律要求,以确保足够的安全性sRzesmc
Haydn表示,“联邦政府都没有做到这一步(EETC编按:美国是联邦制国家,各个州在联邦内部也被视为独立于联邦的国家主体,拥有很大的自主权,除了宪法规定的属于联邦的权力之外,其他的权力都是属于州的)。但最近的大选可能会对此产生影响。”sRzesmc
早在9月,美国众议院一致通过了《物联网网络安全改进法案》(IoT Cybersecurity Improvement Act [H.R. 1668]),该法案要求国土安全部以及网络安全和基础设施安全机构(DHS/CISA)提供一个法律框架,保障消费者的网络安全。负责建立标准的是美国国家标准与技术研究院(National Institute of Standards and Technology,NIST),目前标准是IR 8259。sRzesmc
欧盟和美国确实在朝着标准和立法迈进,这也正在影响亚太地区和大洋洲——sRzesmc
在奥运会之前,日本内务省就立法定义了物联网设备;韩国KISA(互联网和安全机构)在2020年2月着手推动物联网服务规划指南;中国方面,则由政府支持的工作组发布了官方标准;新加坡正式采用英国DCMS的指导原则;澳大利亚则采用“自愿性物联网消费者行为准则”(Voluntary IoT Consumer Code of Practice)。sRzesmc
sRzesmc
其实在消费类物联网之外,我们看到工业领域的物联网已经实施了不少标准,其中最相关的是ISA/IEC 62443。该标准的有趣之处在于,它已成为全球政府采购决策中的强制性规定。 如果你要布建一个控制系统或智慧城市系统,则相关产品必须符合该标准。“鉴于现在每个厂商的系统都不同,因此几乎在使用前都必须适当地进行编码。有趣的是,这在多大程度上影响了需求?” Haydn说到。sRzesmc
sRzesmc
ISA/IEC 62443不同要求的细目分类,点击查看获取详细法规PDF版下载链接sRzesmc
法规中对于安全级别的定义,是最重要的部分,因为它设定了安全操作的级别。从下图来看,对于大多数现代物联网应用要达到第2级或第3级安全。当然,所有设备都至少需要具备1级的基本保护能力,以防止偶发的攻击,但如果攻击再强一些,例如心怀不满的员工蓄意破坏,或恶意软件机器人,这就需要上升到了2级安全标准了。sRzesmc
sRzesmc
第3级开始,防护重点在于不受复杂手段、特殊技能和动机的伤害。这一级最典型攻击是勒索软件,Haydn表示,“我们已经见过很多非常高级的攻击,比如前面提到针对挪威海德鲁公司的攻击。更高层次防护是复杂的,意味着需要扩展更多资源和高度机动性,因为在4级安全定义中,最典型的就是针对国家层面的攻击。需要再次强调的是,这确实包括应对一些有组织的犯罪和高级勒索软件攻击。”sRzesmc
虽然这些东西听起来像詹姆斯·邦德(James Bond,《007》男主角)或者杰森·伯恩(Jason Bourne,《谍影重重》男主角)等间谍小说里的东西,但确实是任何工业自动化控制系统都必须要防御的攻击,无论是在汽车平台,还是在工业机器人或者是在街道照明上。sRzesmc
那么,如何在不增加成本和复杂性的情况下,通过设计确保安全?sRzesmc
回到消费者物联网的行业准则,在所谓的“13个最佳准则”(13 Best Practices)中,有三个最应该关注。sRzesmc
sRzesmc
没有默认密码首当其冲,因为这给了社交型攻击机会。重置设备或许可以让其功能恢复,但实际上也给了坏人得到密码的机会。sRzesmc
“第二点是必须让漏洞披露平台运转起来,这对于确保所有客户、用户都意识到风险非常重要,这些风险将存在于任何设备中。” Haydn表示,“当然,如果有了漏洞披露政策,还必须遵循第三点——保持软件更新的能力。这类良好的安全习惯实施起来非常非常困难。”sRzesmc
从开发的角度来看,要在整个物联网平台上开发唯一身份实现起来非常困难。即每个设备都真正具有唯一的标识,并且可以对其进行唯一寻址、唯一更新和唯一管理,这重要到会影响整个开发和生产流程。sRzesmc
sRzesmc
这需要新一代的工具,虽然目前已经有一些方法可以实现上述功能,但是Haydn肯定地说,还有其他方法能使这一切变得更容易,不需要消费者和开发人员去了解加密基元、根证书颁发机构和中间证书这些晦涩难懂的东西,只需通过操作向导和简单的复选框就能实现支持。sRzesmc
但是作为开发人员要有一种思维上的转变,那就是将安全性放在开发的首位,将其贯彻应用于原型设计中,为将来的批量生产打好样。一个硬件安全模块,可确保安全地生成信任/身份根,并将其配置(编程)到目标设备中。sRzesmc
sRzesmc
如果在所有连接的设备中大规模进行此操作,难度很大,但是现在这是强制性的。 如何进行大规模的安全配置和编程?Haydn认为,它应该非常简单,就像包含一个用于密钥生成的证书框架,以便将原型扩展到大批量生产。sRzesmc
关于实施漏洞披露的政策,Haydn介绍了他们的漏洞披露平台。该平台允许任何开发人员注册并披露漏洞信息,显示受影响的软件版本,并允许披露受到威胁的硬件产品。他认为其实每个行业组织、OEM、芯片厂商、工具供应商都必须制定自己的披露政策,必须有高管为此负责。同时必须与消费者保持联络和良好的沟通。而不幸的是,目前整个行业在这一领域做得非常差。sRzesmc
交付生命周期管理方面,虽然有很多机制可以做到这一点,但基本上在每个层面上都可能存在折中。现实情况是,更新机制越小,系统引导过程越早,效果也会越好。这就是为什么要采用构建健壮(robust)、安全的启动管理器的方法,它支持通过任何一种机制来加载内存,这些机制可以保障签名、加密、格式、版本和更新正确。sRzesmc
sRzesmc
这也可以在操作系统中以及通过应用程序完成,具体取决于许多级别。在大多数情况下,会有多个级别的更新。 但从根本上讲,必须假定任何复杂程度的软件都将充满妥协,而且我们必须能够适当地进行恢复、修复和更新,因此需要从一开始就具有安全性。sRzesmc
“安全实际上是一种高价值的能力,这不是成本。”Haydn说到,“它可以保护您和您的客户IP免受盗窃,保护用户免受恶意软件侵害。消费者物联网的安全性已经受到法律约束,不幸的是,很少有公司准备就绪。”sRzesmc
虽然工业物联网已经有了一些强大的安全标准,这些标准现在已成为许多组织的采购要求,但并不是所有你需要的组件都能符合要求。Haydn建议阅读工业物联网规范以及EN 303645标准,以更好地适应不断变化的经济形态。sRzesmc
“作为一家工具开发公司,我会尽量把物联网潜在的风险说出来,但是用好了工具确实可以使安全性变得简单。”Haydn总结道,“这应该不难,您也不必是专家,只需按图索骥来便可以将标准化的安全推广到每个角落。我认为物联网时代有很多潜在的回报,也有很多风险,但是通过工具、芯片和应用程序协同作用,我们就可以确保连接的安全。”sRzesmc
微信扫一扫,一键转发
关注“国际电子商情” 微信公众号
恩智浦重申对中国市场的坚定承诺,丰富产品、技术创新、分销体系已准备就绪。
合作协同的重要性不仅是在恩智浦内部产品之间的协同,还包括与大客户、中小客户乃至整个生态的合作。
物联网市场在专用蜂窝网络中呈现健康增长。
国际电子商情25日讯 RISC-V已成为中美先进芯片技术战略竞争的新战线。
全球连接需求将推动卫星物联网市场快速增长。
国际电子商情24日讯 大华股份日前在2023年年报披露,已经将其在美国仅存的业务出售,将彻底退出美国市场。
提及博世,大家的第一反应可能就是“博世是一家Tier1公司”。的确,汽车与智能交通技术是博世最大的业务板块,约占这家营收916亿欧元(2023年)的国际巨头总业务板块的65%。实际上,博世的业务布局呈现多元化的特点,除了聚焦汽车与交通板块之外,在工业技术、能源与建筑、消费电子领域也均有广泛布局。
在网络安全技术创新中,人工智能(AI)和机器学习(ML)增强了监控和可见性解决方案,积极降低了运营技术(OT)/工业控制系统(ICS)的网络风险。
双方将透过生态系合作伙伴提供EDA和IP解决方案,以支持12纳米制程的设计实现。预计此12纳米制程将在2027年投入生产。
针对此次涉及事件,ABB在公告中称“我们正在审查这封信,并打算酌情作出答复。我们会认真对待委员会的要求”。
国际电子商情22日讯 数字技术已经深度融入了人们的生产生活,但是老年人对数字产品和服务接受程度低。随着中国人口老龄化加快,银发经济正面临着巨大的发展机遇。
霍尼韦尔首席执行官维Vimal Kapur表示:“霍尼韦尔在提供楼宇自动化产品和服务方面拥有良好的业绩记录,这使得此次合作成为了天作之合,将创建一个领先的安全平台,预计年收入将超过10亿美元。”
在各大半导体厂商抢攻AI商机之际,芯片产能却赶不上需求。
TrendForce集邦咨询预估AI服务器第2季出货量将季增近20%,全年出货量上修至167万台,年增率达41.5%。
根据TrendForce集邦咨询最新存储器产业分析报告,受惠于位元需求成长、供需结构改善拉升价格,加上HBM(高带宽内
根据TrendForce集邦咨询最新存储器产业分析报告,受惠于位元需求成长、供需结构改善拉升价格,加上HBM(高带宽内
近日,中国科学院上海微系统与信息技术研究所宋志棠、雷宇研究团队,在三维相变存储器(3D PCM)亚阈值读取电路、高
7月21日,TCL电子公布2024年上半年全球出货量数据,TCL电子表示,得益于公司在全球市场的积极开拓和品牌影响力的
据美国趣味科学网站16日报道,来自美国麻省理工学院、美国陆军作战能力发展司令部(DEVCOM)陆军研究实验室和加拿
全球LED市场复苏,车用照明与显示、照明、LED显示屏及不可见光LED等市场需求有机会逐步回温,亿光下半年车用及
三星最新推出的Galaxy Watch 7,继续重新定义可穿戴技术的极限。这款最新型号承袭了其前身产品的成功之处,同时
2024年第二季度,在印度大选、季节性需求低迷以及部分地区极端天气等各种因素的影响下,印度智能手机市场微增1%
根据TechInsights无线智能手机战略(WSS)的最新研究,2024年Q1,拉丁美洲智能手机出货量强劲增长,同比增长21%。
Chiplet的出现标志着半导体设计和生产领域正在经历一场深刻的变革,尤其在设计成本持续攀升的背景下。
7月25日,由全球领先的专业电子机构媒体AspenCore与深圳市新一代信息产业通信集群联合主办的【2024国际AIoT生
“芯”聚正当时!第二十一届中国国际半导体博览会(IC CHINA 2024)正式定档,将于2024年11月18-20日在北京·国家
7月25日,由全球领先的专业电子机构媒体AspenCore与深圳市新一代信息产业通信集群联合主办的【2024国际AIoT生
2024年7月17日-19日,国内专业的电子元器件混合分销商凯新达科技(Kaxindakeji)应邀参加2024年中国(西部)电子信息
在7月12日下午的“芯片分销及供应链管理研讨会”分论坛上,芯片分销及供应链专家共聚一堂,共谋行业发展大计。
7月8日-10日,2024慕尼黑上海电子展(elec-tronica China)于上海新国际博览中心盛大开展,凯新达科技被邀重磅亮
2024年7月8日到10日 ,浙豪半导体(杭州)有限公司作为小华半导体的优秀合作伙伴,在2024慕尼黑上海电子展上展出了
7月25日,由全球领先的专业电子机构媒体AspenCore与深圳市新一代信息产业通信集群联合主办的【2024国际AIoT生
近日,2024 Matter 中国区开发者大会在广州隆重召开。
7月25日,由全球领先的专业电子机构媒体AspenCore与深圳市新一代信息产业通信集群联合主办的【2024国际AIoT生
7月13日,以“共筑先进封装新生态,引领路径创新大发展”为主题的第十六届集成电路封测产业链创新发展论坛(CIPA
新任副总裁将推动亚太地区的增长和创新。
点击查看更多
北京科能广告有限公司深圳分公司 版权所有
分享到微信
分享到微博
分享到QQ空间
推荐使用浏览器内置分享
分享至朋友圈