要求物聯網設備經過安全認證是完全沒有道理的。

法規是笨拙的工具，最好留到最后使用。網絡安全法規并不靈活，往往在制定之日就已過時，并成為行業遵循的最低門檻。這扼殺了安全創新和優秀實踐的應用。從好的方面來看，法規確實迫使那些忽視基本安全實踐的行業達到了一個共同的標準。但歷史表明，這些行業很少會超出監管要求。我們每周在新聞中看到的所有數據泄露事件中，幾乎所有這些組織都遵守了法規要求，但他們正在丟失數十億條數據記錄。合規不等于安全！

然而，有些人在游說政府，鼓吹物聯網認證法規。我發現他們的想法是短視且不成熟的。

在某些情況下，法規是絕對必要的，但僅適用于具體的應用以實現特定目標。在某種程度上，保護在線兒童的隱私，保護敏感的醫療記錄，或要求對信用卡交易進行控制，這些都在一定程度上納入了法規范圍。

我是一名熱情的安全倡導者，有些人甚至說我是狂熱分子，但我不喜歡這種要求物聯網設備進行安全認證的想法。它太過寬泛，破壞了推動快速創新的經濟模式。

對于手機、平板電腦、個人計算機或服務器，我們不需要此類認證。那么，為什么有人會認為要求對低功耗物聯網設備進行認證是一個好策略？

認證會增加產品開發的時間和成本。物聯網設備的用途非常廣泛，而且往往比功能齊全的計算系統更便宜。此外，認證規模是另一個問題，因為物聯網設備的數量很快將超過500億臺。確定誰將對全新類別的設備進行認證以及將接受哪些標準的過程是一場噩夢。并且在如此大的規模上，執行這些要求將是昂貴的，也是一場噩夢。官僚主義和成本會給市場增加巨大的摩擦，會讓許多公司和產品望而卻步。

毫無疑問，物聯網需要更大的安全性，但建議過于寬泛的法規為時過早，并且可能損害從智能設備中受益的每個人。還有許多其他選擇和解決方案，它們可以以更低的成本提供更好的保護，而不會災難性地阻礙創新、競爭力和健康的市場周期。建立用于設計和認證的標準、優秀實踐是一個很好的開始。推動消費者認可并重視安全設計，可以為制造商相互競爭創造競爭優勢。此外，開放的漏洞獎勵、公共安全研究以及滲透測試認證的共享將推動物聯網行業更好的流程。

如果這些做法沒有被采納或采用不夠充分，那么我們應該討論監管問題。但是首先，我們必須尋求更優化的途徑來與物聯網行業建立安全伙伴關系，以便生態系統能夠更好地適應不斷變化的威脅，支持創新，并值得所有人信賴。讓我們不要急于制定僵化的法規模式，因為它們僅應被視為最后的選擇。
責編AJX