网络安全已经是许多公司董事会的首要议程,但物联网(IOT)发展的规模和范围导致了安全风险的迅速升级,相比以往,企业高管需要付出更大努力来保护他们的企业。
Read this article in English
物联网(IOT)的迅速崛起为组织提供了提高内部效率、更好地服务客户、进入新市场甚至建立新商业模式的巨大机遇。从医疗保健到能源、汽车、制造和物流等行业,都已被物联网所改变,而未来,几乎每个行业也都将很快感受到其影响。
这也将对网络安全问题产生重要影响。互联设备的浩繁规模大大增加了网络安全的整体复杂性,而整个物联网生态系统将这些挑战进一步放大。
根据AT&T的物联网安全现状调查,只有10%的回复者对自己互联设备的安全性完全有信心,只有12%的人对商业伙伴设备的安全性非常有信心。如今的CEO所面对的问题不是如何说服董事会相信风险的真实存在,而是识别威胁,设计和执行缓解措施,对风险防范进行充分沟通,来赢得董事会的全力支持。
风险在哪里?
在最基础层面上,大量已经启用了物联网的车辆、工厂设备和其他设备,并没有充分考虑到互联网连接或安全性。留下了很多弱点,让黑客和其他网络犯罪分子进入企业网络有了可乘之机。在过去的两年中,AT&T的安全运营中心对物联网设备的漏洞扫描增加了458%。
此外,许多物联网设备没有得到正确监控。近一半的AT&T的调查回复者承认,他们仅仅能大致估计连接设备的数量;只有38%使用设备管理系统或软件来识别互联的设备,只有14%采取了正式的审计流程。
随着物联网设备架起了数字和物理世界的桥梁,安全挑战也开始增加。成千上万的物联网设备已经控制了实体的基础设施,如生产线、供应链和电厂,以及飞机和汽车。例如,在物联网汽车上,传感器收集性能数据来监控维修计划,解决故障,并分析汽车使用情况。其他传感器搭配语音控制和移动应用程序,提供了诸如导航和信息娱乐等各种新功能。
从企业层面来看,任何数据泄露都会严重损害到企业的股票价格、市场地位和声誉。当你的物联网如果同时存在人身安全风险,不管多么小,代价都会很高。这大大提高了你的信息安全战略的复杂程度。
我们如何应对?
考虑到风险之高,安全必须成为物联网开发和部署的基石,而不是放在最后来做。
首先,首席执行官必须确保安全专家从物联网开发最早期就介入。从一开始就构建起物联网设备及网络的安全性保护不断扩大的物联网基础设施的关键。这意味着多层的安全管控,从加密到保护核心业务功能。这也意味着设计出合适的架构来限制连接系统之间相互依赖。
在物联网汽车的例子中,关键的安全系统和发动机控制单元可以分离,这样就无法通过信息娱乐和通信系统侵入这些关键系统。
其次,公司董事会和最高管理人员可能需要修改现有的网络安全政策和制度,以适应新的物联网战略。在任何情况下,物联网战略都必须紧密地与更广泛的企业信息和业务策略整合。你要采取措施及时修复和更新软件和固件,并实施控制,来及时识别和遏制安全漏洞。
为了保证有效性,这种整体安全策略需要囊括整个物联网生态系统,不只是你自己的设备、数据和应用程序,还有你的合作伙伴和客户的设备、数据和应用程序。在工业环境中,物联网传感器、执行器和其他设备的监控和控制机制要提高工作效率,将意味着在整个生态系统中建立认证和授权控制机制。
成功青睐有准备者
物联网及其安全后果之巨大,使得企业在新设备开发出来前考虑其安全需求显得至关重要。责任明确、统一的安全流程和自上而下的物联网安全管理非常必要,这样才能防患于未然,并有效应对无可规避的攻击。执行团队和董事会成员的关注和参与是物联网战略成功的强有力信号。