“IoT时代一旦网络被人控制不可设想。”9月24日,奇虎360董事长兼CEO周鸿祎在2014中国互联网安全大会上表示,万物互联(Internet of Things,即IoT)的时代正在到来,任何设备都将接入互联网,由此带来的安全挑战前所未有。
周鸿祎举例说,在IoT时代,当一个IT发烧友把家里的灯泡、电视、都换成智能的,或者又装了一个摄像头,而且是智能摄像头,这时候,如果家里的路由器被人骇客了,就可以把家里的灯都关到,还可以装上一个摄像机……
360副总裁谭晓生则表示,面对当前智能硬件领域存在的安全问题,过去的安全产品难以应对,需要重新寻找解决万物互联时代安全的方法。
大数据时代才刚刚开始
周鸿祎表示,互联网不仅仅是人和人连起来,也不仅仅是手机之间的连接,而是能够把今天我们所有能看到、能想到、能碰到的各种各样的设备都连接起来,大到工厂里的发电机、车床,小到家里的冰箱、插座、灯泡,甚至到每个人身上戴的戒指、耳环、手表、皮带。
“大数据时代才刚刚开始。”周鸿祎表示,当所有的设备都通过3G、4G的网络,通过Wi-Fi、蓝牙等各种各样的协议都要和互联网、云端7×24小时相连,就会产生真正大量的海量数据。
而在过往,人们用电脑的时间一天也就几个小时,其产生的数据量还是非常有限,而手机除了睡觉的时候,其他时间基本上都在用,而且手机里的信息基本都被上传到云端。而在IoT时代,一个人身上可能就有五六部设备连接互联网。
在周鸿祎看来,大量连接的IoT时代,不仅对互联网企业来说是一个巨大的机会,而且对传统行业来说也是如此。
“很多传统企业就不仅仅是说利用互联网来获取信息、发布信息和卖东西。”周鸿祎说他们可以利用IoT的技术,让自己的产品都变成具有互联网体验,让商业模式从一次性买卖变成提供互联网服务,从而帮助很多企业转型升级,“最后所有的企业都会变成互联网企业”。
但在谭晓生看来,人类正在走向万物互联的后移动互联网时代,智能设备甚至万物皆成为黑客攻击的对象。事实上,近年来发生的安全事件已经层出不穷,比如,在2014Defcon上,黑客演示45分钟内破解22种硬件设备;2013年则出现了数百万家用路由器被黑风波。
周鸿祎表示,当所有的设备都变成智能化,都接入网络以后,边界的概念将会进一步被削弱,也就是说接入点越多,可以被攻破的这种可能的入口就会越多,过去奉行的隔离、切断等防守式的安全手段将面临越来越大的挑战。
“现在常见的硬件层面的制造并不太重视安全保密。”谭晓生认为,很多东西放在云端,甚至把自己标识的东西都放在那里,尽管调试起来方便,但黑客也很高兴。因此,在万物互联时代,安全公司、政府和企业在智能硬件和互联网的安全里的角色需要有所变化,过去是靠卖安全产品挣钱,今后则要借助自己的安全从业经验,来探索新的商业模式。
谭晓生谈道,目前有一个共识认为安全会变成一种服务,其实完全可以变成一门生意,产品做出来以后,可以有一种安全的评测,可以收费也可以不收费,进行安全评测给用户提供更多选择的信息。
用户隐私三原则
“现在安全产品是被准入管得很死,可是智能硬件产品的准入是非常松的。”谭晓生表示,现在万物互联时代,安全课题比较新。事实上,以智能汽车的安全规定为例,当汽车发展到一定的阶段政府会出台一定的政策,要求汽车的安全性必须要达到一定的标准,类似于四星、五星碰撞等。而对于游戏规则制定者来说,智能硬件等新领域也需要研究准入标准。
又比如说,企业造成了严重的安全事故是不是要召回和履行赔偿的责任?谭晓生认为,企业出了问题要追责,这不能靠企业的道德。也就是说,智能硬件的制造企业需要把产品纳入到设计和管理的流程里面,要对现有存在安全缺陷的产品进行召回和赔偿,将来应该要为自己设计产品的不安全的漏洞负责任。
“最重要的一个挑战是用户隐私的挑战。”周鸿祎认为,在IoT和大数据的时代,只要用到网络服务,每个人的数据就会被传到云端,每个人会变得更加透明,每个人在干什么,在想什么,可能这时候云端全部都知道,除非你不用任何先进的设备,不用网络。
但相对于大数据的实践来看,法律和规则的制定是相对落后的,因此保护个人隐私面临更大的挑战。
“在大数据时代,我提出了如何保护用户隐私的三原则。”周鸿祎借鉴科幻小说作家伊萨克·阿西莫夫的“机器人三原则”,提出了自己的想法。
第一,个人信息是用户的资产。“虽然这些信息储存在不同的服务器上,但这些数据的拥有权究竟属于服务提供商还是属于用户自己?”周鸿祎认为,数据应该是用户的资产,这一点必须明确,它只是暂时托管和存放在各个公司的服务器上,“我希望将来个人隐私数据也会有所有权,就像当下法律对财产所有权的认定”。
第二,安全是企业的责任和义务。周鸿祎认为,不仅是今天的互联网公司,更不仅仅是今天的网络安全公司,甚至包括很多要进入互联网来利用IoT技术给用户提供信息服务的公司来讲,都要有相应的安全能力。
“你要把你收集到的用户数据进行安全存储和安全的传输,这是企业的责任和义务。”周鸿祎表示,如果一个企业没有足够的安全能力,却收集了用户的数据资料,那么万一信息丢失,会给整个社会带来灾难性的结果。因此,每一个有用户资料的公司,每一个要把自己的服务摆到互联网上去的公司,都要提升自己的安全能力。
第三,让用户有知情权和选择权。企业使用用户的信息,一定要让用户有知情权,所谓“平等交换、授权使用”。事实上,目前手机上有很多数据和应用,根本和短信毫无关系,却要求把用户的短信记录上传到网上。
“有了这三原则,用户在IoT时代才能感觉更放心。”周鸿祎表示。