物聯網安全是意識問題不是技術問題

　　創造者和用戶經常默認這些設備不會、不能也不必要被好好維護。他們對用戶不可見，也不提供接口或界面來進行管理。

　　聯網汽車是個有趣的例子，完美闡述了某個單一的東西是怎么成為物聯網安全問題的。大多數現代汽車都會有很多不同的網絡，包括一個控制器局域網(CAN)總線、手機匹配藍牙和無線輪胎壓力傳感器。有些汽車甚至還有像安吉星 (OnStar)這樣的蜂窩連接。但是連入這些網絡的操作系統，直到最近才具備了自動更新的能力。之前，想要對受影響的車輛進行軟件升級和打補丁，都必須將車輛召回才行。用戶沒有為車輛網絡和計算機的安全買單義務。

　　不過，最近有些廠家已經能夠進行車輛軟件的自動升級了。比如說，特斯拉。這家電動車領軍企業，從一開始就將網絡安全放在了首位。除了在設計階段考慮安全，還提供經常性的無線補丁和更新。一輛特斯拉汽車，就是一臺主動管理和維護的設備。從心理視角，沒人會認為自家車庫里的特斯拉會是個PIoT設備。

　　但另一方面，其他車輛，那些從未托管，從未維護，從未打補丁的汽車，則落入了PIoT的范疇。有趣的是，隨著近年來對汽車黑客活動的關注，董事會層面上車輛網絡安全的價值倒是越來越被認可，只是要讓用戶轉化到新的車輛安全設計上可能要花去不短的時間。

　　為分析設備是否歸屬PIoTa范疇，我們可以將它們放到以設備創造者安全意識和終端用戶感知安全價值為坐標軸的二維空間里。

　　當創造者和用戶理解安全的重要性，IoT問題就會變少。這些設備會被謹慎設計，方便管理，通常也不會成為PIoT的一部分。至于其他3個象限，遭遇問題簡直是必須的。

　　如果用戶不渴求安全，設備中就很有可能摘除安全性——即使創造者知道安全的重要性。如果用戶需求安全，而創造者沒理會這一需求，那么安全將會跟個創可貼似的直到成品的最后一刻才松松垮垮地貼到產品上，不過是給用戶造成一種受到保護的假象而已，能賣出去就好。

　　而當用戶和創造者都不關心安全，那就真是絕望了。創造者對安全會連個眼神都欠奉。我們在智能燈泡之類的物聯網設備中所看到的就是這種景象，而這些被忽視的小設備往往會帶來新的漏洞。

　　想改善現狀，有幾條建議可用。激勵措施(或懲罰措施)能鼓勵創造者在設計產品時更嚴肅認真地考慮安全問題。沒有安全經驗的程序員可以利用廣為使用的工具來創建更安全的產品。這樣能更容易地做正確的事。

　　我們還可以培養用戶的自我保護意識，教會他們該看哪些點來評估產品安全特性。雖然用戶常能體會到對隱私和安全的需要，其實沒幾個用戶能看出強安全性和騙人的萬靈油之間的差別。

　　美國保險商實驗室剛剛放出了一份物聯網設備認證，不過，至少目前，還不能在哪款產品上看到這一認證。這枚顯眼的小戳將讓用戶在做購買決策時將安全納入考慮范圍。

　　通過考慮物聯網設備用戶和創造者的心理，我們可以拿出更好的方法，看出這些設備中哪些是PIoT的一部分，幫助改善IT生態系統的整體安全。

　　這些建議中沒有哪一條是萬靈藥，但基于思維方式的方法可以產生根本性的改善，不僅僅是對設備自身的安全性而言，也是對接入我們網絡的每樣東西的安全性而言。而隨著我們踏入未來，物聯網將很快成為生活中必不可少的一部分。