物聯(lián)網(wǎng)安全威脅并沒有聽上去那么遙遠，它就像個火藥桶靜靜地躺在我們每個人的身邊，一個不小心輕則隱私泄露，重則性命攸關(guān)。一個最淺顯的例子就是我們每個家庭客廳玄關(guān)上的，安全協(xié)議和密碼脆弱、固件漏洞百出的WiFi路由器。

　　事實上，智能門鎖、智能玩具、電動汽車、智能水表、智能工廠，還有醫(yī)院貴重的醫(yī)療設備，都是物聯(lián)網(wǎng)設備，它們的共同特點就是安全漏洞很多而且往往不能得到及時修補，而安全漏洞導致的后果則往往更加嚴重：輕則泄露隱私、停工停產(chǎn)，重則危及生命和財產(chǎn)安全。這甚至不是一個笑話。

　從亞馬遜開刀  

　　物聯(lián)網(wǎng)安全是幾乎從零開始的安全領(lǐng)域，無論是汽車CAN總線還是化工廠傳感器，都是近年來隨著數(shù)字化進程的深入才開始面臨嚴峻的網(wǎng)絡安全問題。從芯片、協(xié)議、組件、軟件、到終端設備和網(wǎng)絡設備，無論是（網(wǎng)絡）安全設計、安全標準、安全技術(shù)、安全管理和安全法規(guī)方面都在不斷完善中，但這些工作似乎絲毫也沒有減輕人們對物聯(lián)網(wǎng)安全的擔憂，事實上，事情可能比我們想象得更加糟糕。

　　市場的高度碎片化，產(chǎn)品的大規(guī)模低成本制造和快速迭代、供應鏈的全球化，監(jiān)管的區(qū)域化、廠商安全能力的先天不足，用戶安全意識的缺失，都讓物聯(lián)網(wǎng)安全標準的統(tǒng)一和實施變得異常艱難和遲緩。

　　任何一個國家，包括科技領(lǐng)先的美國，都無法觸及更別提掌控整個物聯(lián)網(wǎng)供應鏈的安全性。這導致物聯(lián)網(wǎng)安全成為全球性難題。

　　但是，有一位安全大咖——布魯斯·施耐爾（Bruce Schneier），近日在大西洋理事會的一份報告中提出了一個清奇的方案：通過頭部電商平臺（例如亞馬遜）監(jiān)管上游供應商生產(chǎn)安全的IoT設備和組件。大西洋理事會將該方法稱為“反向級聯(lián)”，通俗點說就是“倒逼”。

　　說白了，就是要求頭部電商平臺對物聯(lián)網(wǎng)產(chǎn)品的安全性負責！

　　Schneier的建議可以總結(jié)為：

　　既然讓全球各地成千上萬的廠商和零件供應商合規(guī)對各國政府管理部門來說難度太大，那么就發(fā)動市場渠道的力量，讓亞馬遜這種頭部電商平臺，包括電信運營商來承擔起一部分監(jiān)管和推動物聯(lián)網(wǎng)產(chǎn)品達到更高的（本地）安全標準和要求。

　　換而言之，來自國外廠商（供應鏈）的物聯(lián)網(wǎng)產(chǎn)品或者組件，即使沒有對應的強制標準或法規(guī)禁止你銷售，但是在頭部電商平臺卻無法上架，變相地把電商環(huán)節(jié)的監(jiān)管變成了“強制性標準”。

　　沒有無辜的雪花  

　　對于物聯(lián)網(wǎng)安全問題來說，沒有無辜的雪花。因為物聯(lián)網(wǎng)設備不是一種單一產(chǎn)品，它是由世界各地制造商在不同地方制造的各種組件的組合，任何一個組件都可能導致安全問題。

　　雖然全球各國、標準組織和企業(yè)正在努力通過自愿標準來改善物聯(lián)網(wǎng)安全狀態(tài)，但是產(chǎn)品依然存在一系列問題，包括出售時默認配置不安全以及供應商提供補丁程序的能力參差不齊。

　　問題是如何在政府監(jiān)管機構(gòu)無法觸及的地方要求物聯(lián)網(wǎng)供應商實施良好的安全實踐。大西洋理事會報告給出的解決方案正是：緊緊抓住美國的產(chǎn)品零售商和分銷商，他們反過來會要求其供應商達到更高的標準。

　　大西洋理事會報告的合著者之一，安全專家布魯斯·施耐爾（Bruce Schneier）表示，對物聯(lián)網(wǎng)產(chǎn)品安全，應當像對嬰兒食品的營養(yǎng)成分或兒童睡衣的耐火性一樣進行監(jiān)管。

　　Schneier的說法絕非危言聳聽，隨著全社會的數(shù)字化程度不斷提高，越來越多的人擔心，無論是接入網(wǎng)絡的（自動駕駛）汽車、智能家電、醫(yī)療設備還是關(guān)鍵基礎(chǔ)設施，設備安全性問題可能會造成災難。報告警告說，后果可能是致命的。

　　Schneier說：“如果我們想確保美國的最低限度的安全標準，我們就必須對某些美國實體施加限制?！薄白罴亚腥朦c就是那些出售產(chǎn)品給消費者的公司，包括是亞馬遜、沃爾瑪以及某些分銷商。”

　　該報告由納撒尼爾·金（Nathaniel Kim）和特雷·赫爾（Trey Herr）共同撰寫，他說：“恒溫器不足會造成財產(chǎn)損失”，但“缺少恒溫器的發(fā)電機可能會導致停電。恒溫器損壞的汽車、交通信號燈和醫(yī)療設備可能導致死亡?！?/p>

　　反推與倒逼   

　　該委員會寫道，美國沒有針對物聯(lián)網(wǎng)的強制性標準。即使物聯(lián)網(wǎng)法律更為普遍，但對于生產(chǎn)大量物聯(lián)網(wǎng)設備的中國制造商而言，這些法律將無法執(zhí)行。

　　但是，美國一些州今年初已經(jīng)開始制定甚至實施標準。例如，加利福尼亞州的物聯(lián)網(wǎng)法規(guī)SB-327（于1月生效）禁止銷售沒有達到基準安全措施的設備。俄勒岡州的物聯(lián)網(wǎng)法律也于1月生效，與加利福尼亞州的法律類似。

　　大西洋理事會的報告認為，法規(guī)應當推動零售商和分銷商要求其上游供應商生產(chǎn)安全的IoT設備和組件。

　　從銷售渠道倒逼供應鏈的例子已經(jīng)存在。例如，大西洋理事會的報告中提到，加拿大民間社會組織向美國零售商家得寶（Home Depot）和西爾斯（Sears）施加壓力，要求其對加拿大伐木公司實施伐木標準和保護措施。此外，美國國防部要求供應商對供應商的良好供應鏈做法負責。

　　該委員會指出，百思買、沃爾瑪和亞馬遜在美國銷售大多數(shù)消費電子產(chǎn)品。百思買（Best Buy）在其2019財年企業(yè)責任報告中指出，它已經(jīng)“致力于建立有關(guān)物聯(lián)網(wǎng)設備的安全性和隱私性方面的客戶期望基準”。

　　值得重點關(guān)注的是Wi-Fi路由器產(chǎn)品，現(xiàn)代數(shù)字家庭中最重要的物聯(lián)網(wǎng)（網(wǎng)關(guān)）設備，同時也是安全性最糟糕的產(chǎn)品之一。報告指出，就WiFi路由器而言，物聯(lián)網(wǎng)法規(guī)對電商平臺的監(jiān)管同樣適用于寬帶提供商，通過寬帶提供商來倒逼路由器設備的安全合規(guī)。理事會寫道：“只有不到十二家寬帶提供商，包括Comcast、Charter、AT＆T、Verizon和CenturyLink等名稱，為所有聯(lián)網(wǎng)的美國家庭提供服務，而排名前三的提供商則擁有超過一半的市場?！?/p>

　　缺乏監(jiān)管就是扼殺創(chuàng)新，不作為就是胡作非為    

　　Schneier表示，如果“亞馬遜不出售安全性較差的路由器，那么用戶將不會采購到這些路由器，這意味著制造這些路由器的公司將失去美國市場，除非他們遵守該法規(guī)?！?/p>

　　Schneier承認，制造安全性更好的物聯(lián)網(wǎng)設備意味著成本和售價的上升。但他認為，如果沒有監(jiān)管，任由安全性較差的設備繼續(xù)出售將導致“劣品驅(qū)逐良品”，因為就安全性而言，消費者不僅不了解產(chǎn)品區(qū)別，而且對安全的價值認知也很有限，自由市場機制在這里是失靈的。

　　事實上，由于各國缺乏有效監(jiān)管，安全性較差的WiFi路由器已經(jīng)成為全球網(wǎng)絡空間的重大安全隱患，這些路由器不但會泄露用戶家庭網(wǎng)絡上的數(shù)據(jù)，而且被僵尸網(wǎng)絡控制后能夠發(fā)動毀滅性的物聯(lián)網(wǎng)DDoS攻擊。2016年導致半個美國癱瘓的僵尸網(wǎng)絡DDoS的流量就來自海量的民間物聯(lián)網(wǎng)設備（包括路由器、攝像頭甚至聯(lián)網(wǎng)冰箱）。日本政府曾在原定的東京奧運會舉辦之前，對全日本2億臺家庭WiFi路由器進行了安全普查。過去二十年WiFi路由器供應鏈上游累積和擴散到全社會的安全性問題，在終端市場的補救不但勞民傷財且收效甚微。

　　Schneier說：“為了打造公平競爭環(huán)境，你需要制定一項法規(guī)，否則一定會有人鉆空子?！?/p>

　　“監(jiān)管對于公平競爭，實現(xiàn)創(chuàng)新和安全至關(guān)重要，缺乏監(jiān)管是扼殺網(wǎng)絡安全創(chuàng)新的原因。”