物聯網（IoT）市場發展如此之快，以至于當你讀完這篇文章時，將會有成千上萬臺設備上線。2019年，全球約有260億臺物聯網設備投入使用。這個數字預計今年將增長到300億，到2025年將超過750億。

從汽車、卡車和公共汽車到家用電器、醫療保健系統、建筑，甚至兒童玩具，這些物聯網設備無處不在。連網的傳感器可幫助我們測量周圍的環境。它們收集的數據可以轉化為對企業和政府組織的真實見解，并可以為消費者提供更好的服務。但在將這些創新推向市場的競賽中，有時安全性并沒有得到應有的重視。

這導致了一些情況，例如，黑客在2016年控制了數以萬計的物聯網設備，包括家庭路由器和安全攝像頭。黑客們利用這些設備創建了Mirai僵尸網絡大軍，然后利用這些僵尸大軍攻擊一系列在線服務。這是迄今為止在互聯網上看到的最大規模的此類攻擊，而這是由于這些物聯網設備的安全漏洞所致。

或許，最臭名昭著的源于不安全物聯網傳感器的黑客攻擊事件發生在2014年的美國，當時一家為百貨公司提供服務的制冷供應商Target被黑客攻擊。該攻擊泄漏了多達4000萬個銀行卡帳戶以及約7000萬個Target客戶的個人信息。

連網意味著易受攻擊

次年，兩名安全研究人員利用車載無線通信系統入侵了一輛正在行駛的吉普車，并劫持了它。以上這些只是物聯網安全缺陷眾多示例中的幾個。正如著名安全研究員Mikko Hypponen所說：“如果它智能，它就容易受到攻擊”。

展望未來，如果我們考慮一個充滿自動駕駛汽車的智慧城市，再如果攻擊者控制了交通信號燈并使其從紅色變為綠色，那么可能會發生什么？如果面部識別攝像頭被攻擊了會發生什么？再想象一下脆弱的醫療物聯網系統。

從業務角度來看，風險包括物聯網基礎設施成為攻擊者進入公司網絡的途徑，攻擊者可以利用該途徑竊取機密信息，或植入破壞公司運營的惡意軟件。

我們越依賴連網設備，風險就越大。這就是為什么從物聯網項目一開始就考慮安全性的原因所在。識別潛在漏洞，并采取措施將風險降至最低。

為安全分配資源

可用于此項工作的資源水平將根據所涉及公司的規模而有所不同。希望將物聯網設備集成到現有網絡中的企業將需要強大的安全協議，因為這可能會為公司網絡打開后門。因此，此方法更適合于具有內部IT能力，并以安全方式管理集成的大型組織。

一些公司在現有IT環境之外推出物聯網項目，尤其是對較小的公司來說，這種方法可能是最合適的。它加快了啟動項目的時間，更重要的是，不會使現有系統面臨額外風險。

數據問題

盡管公司規模將決定安全性的方法，但是審視物聯網的業務案例也同樣重要。一家只想安裝溫度傳感器的中小型零售商店，可能會選擇接受將這些數據放到網絡上的風險。但是，如果安裝的客流計數器可以識別商店中的顧客，則該數據將需要更高級別的保護。

建議安裝帶有防火墻的受密碼保護的邊緣路由器，以防止攻擊者試圖入侵傳感器。進行安全審計也是一個好主意，以確保可以識別進入網絡的任何設備，并確保它們擁有正確的權限，并且在出現安全漏洞時可以快速斷開連接。

GDPR是一個四個字母的單詞

保護設備只是正確實施物聯網的一部分，另一個關鍵要素是保護傳感器發送的數據。像《通用數據保護條例》這樣的隱私條例規定，如果組織收集有關人員活動或任何能夠識別個人身份的數據，則他們必須管理該數據在傳輸和靜止狀態下的安全性。

GSM標準是高度安全的，因此通過移動網絡傳輸的數據是自動加密的，但是，您也應該考慮保護任何通過互聯網傳輸的數據，并確保這些數據也是加密的。

數據保護的另一個方面涉及保護靜態數據，即存儲在服務器、智能手機或平板電腦等設備上的數據。這是企業的責任，需要強有力的策略和程序來防止數據丟失。為了確保靜態保護，所有收集或存儲數據的計算設備都應進行加密。此外，在物聯網項目的規劃階段，還需要考慮組織計劃保留數據的時間，因為GDPR對數據保留有時間限制。

物聯網項目有很多安全問題需要考慮。關鍵是采取切實可行的方法，并提前檢查所有風險，并制定一個將風險降至最低的計劃。目前，強大的物聯網安全性是一個很好的實踐，但有跡象表明，它可能很快會成為強制性的。例如，英國政府正提議采取措施，迫使物聯網制造商為其傳感器和連網產品提供更強的安全性。現在是時候領先一步，從一開始就在物聯網項目中建立安全性，而不是在以后再加強。
責任編輯：YYX