王素 黄帅
随着智能化和物联网化“两化”产品进入市场爆发期,消费者一方面对科技改变未来的场景充满期待,以开放的姿势迎接“最舒适”的生活模式;另一方面,又不得不担心自己的生活路径被悄然记录,而这些被泄露的隐私正以商业的名义被绘制成一个个“用户画像”。
如何更快实现“两化”的同时,保证产品安全可靠和用户信息安全,成为当下最受全球关注的话题。为了帮助企业理清思路、安全出海,本刊特邀请全球知名的第三方检测认证机构Intertek天祥集团电子电气事业部资深专家钟炽新接受了我们的专访。
“最前沿的国际法规对‘两化产品安全性的要求,已经从传统上的物理安全扩展至软件功能安全以及网络安全。” 钟炽新旗帜鲜明地表示,“如果不能建立‘非请勿入的安全屏障,智能化产品就变成了侵权的工具。”
据悉,世界各国家和地区纷纷制定和推出了极其严格的网络信息安全法规,以确保智能化的边界和底线,而一些国际性的技术标准则提供了完整的安全操作指引,是企业执行用户隐私数据的最好工程实践。
一组数据为我们展示了物联网产业的无限前景:未来10年,全球物联网产值将达到8万亿美元;到2020年,预计全球会有240亿台物联网设备联网;而据思科、华为、爱立信估计,2020年物联网连接数量在500亿?1000亿个之间,远超现在70多亿部手机数量。
无疑,物联网正在改变人类的生活方式,同时伴随着严重的安全问题。2018年,360发布的《典型IoT设备网络安全分析报告》显示,33.3%的厂商在产品出厂时完全不考虑安全因素。而远程弱口令、预置后门和敏感信息泄露,是IoT设备三大常见漏洞。报告提示,与IoT设备相关的漏洞增长率比网络漏洞整体增长率高出14.7%。另外,360对使用IoT产品的用户调研结果显示,排在安全担忧首位的是隐私泄露。
事实上,这些安全事件并非只发生在演示及推测中,大规模用户隐私泄露事件一件件被曝光:震惊全球的facebook用户数据泄露、万豪国际集团旗下酒店客户信息泄露、国泰航空乘客信息泄露……它们触动着用户的安全神经,提醒企业追问和守护智能化的边界。
“在隐私保护观念上,中国与国外还存在一些差异。在发达国家,个人信息安全高于一切。反映在产品消费方面,比如,儿童电话智能手表在中国很畅销,但是在欧美国家,由于他们考量到个人隐私问题,难以被接受。” 钟炽新告诉本刊记者。
为了从法律上保障用户信息不被滥用,2018年5月25日,一份号称全球最为严格的欧盟个人信息安全法规通用数据保护条例(GDPR)被强制实施。
为何GDPR号称是全球最具威慑力的信息安全法规呢?钟炽新解释,其实,GDPR在使用范围、处罚案例和处罚程度上较美国、澳大利亚等其他国家的法规而言并不见得是最严苛的,但由于GDPR的法律条文非常细化,就给企业造成一种容易对照执行的紧迫感。另外,最值得注意的是,除了来自政府的监管调查和处罚之外,GDPR还允许个人提起集体诉讼,而这就有可能会升级并导致政府的监管调查,意味着给了消费者或者用户一个很大的监督权力。
據悉,GDPR力求在整个欧盟范围内建立一个统一的数据保护法律框架。在适用范围上,该法规不仅对那些在欧洲开设子公司或分支机构的企业造成影响,而且还会波及将欧盟客户或其商业运营行为作为业务目标的公司。另外,即使所在企业的服务器位于亚洲,只要其中存储有任何欧盟消费者的信息,都符合适用范围。在违规处罚上,其金额可能高达 2000万欧元或4% 的全球销售收入,以高者为准。
为了避免踩到GDPR的红线,钟炽新特别提醒,出口欧盟企业须建立足够的措施,确保企业内部处理系统和掌握信息的安全性和完整性,并在产品设计阶段即考虑网络安全和各种数据隐私安全策略。比如,信息收集是否遵从合法公平的原则并事先征得当事人同意;信息用途是否明确告诉当事人并获得授权;信息是否受到足够安全保障措施保护以防止未经授权的披露风险等。
2018年,一家中国玩具出口制造工厂由于缺乏网络安全考量,采集了孩子们的隐私数据,并且没有进行加密传输,被美国联邦贸易委员会(FTC)调查;另外一家中国的手机服务商被怀疑偷偷收集了美国手机用户的私人信息,也被FTC调查。同年,美国加州消费者隐私法案SB327被签署,并将于2020年1月正式生效。它被视为对标GDPR的隐私保护法规。
无论是GDPR还是SB327,均明文规定数据传输要采用足够好的网络安全技术。在这方面,美国国家标准与技术研究所(NIST)发布的美国联邦信息处理标准(FIPS 140-2)不仅成为美国和加拿大政府采购时强制使用的技术标准,也已被视为数据传输安全的国际主流标准。
钟炽新介绍称,FIPS 140-2是美国和加拿大共同发起的安全标准,涵盖了任何存储或者传输敏感信息的硬件和软件产品。该标准描述了用于敏感但非机密数据产品所要满足的加密和相关安全要求。此外,英国通讯电子安全组织(Communications-Electronics Security Group)也推荐使用FIPS 140 认证。
当问及获得FIPS 140-2认证将会给企业带來哪些好处时,钟炽新回应:“它不仅是企业可以顺利进入美国、加拿大政府采购清单的敲门砖,而且也能够向所有购买者证明产品高度的安全性和可靠性,对于如今注重安全性的购买者来说,这是一个重要的区分标准和营销工具。”
众所周知,美国认证中属于自愿性认证较多,于FIPS 140而言,目前只有跟政府机构或其下属组织供应产品时是强制性认证的,而如果只是消费电子产品等,仍属于自愿性认证。但看到这个标准带来的好处,国际上已经有很多制造厂商自愿去做该认证,我国的华为、中兴、海康威视等企业均有参与。
在FIPS 140-2以外,国际上接受程度最高的产品网络安全标准还有ISO 15408(CC)、UL 2900和IEC 62443。“随着用户希望购入的物联网设备将涉及不同品牌、不同厂家和不同技术,在网络安全以外,跨界互联和互操作性亦将作为基本的用户体验需求。”钟炽新补充说。
一台传统的冰箱,在北美或欧盟市场的售价可能不会超过1000美元,而在冰箱内集成一些联网功能就可以卖到4000美元,这就是“两化”技术给产品带来的价值飞跃。与其他物联网产品一样,尽管目前联网后的冰箱还处在查菜谱等基本功能阶段,但未来它的应用扩展空间极大,比如,直接在冰箱平板上就可以购买鸡蛋。
“当扩展到支付功能后,就需要制造企业了解支付卡行业数据安全标准(PCI)了。”对此,钟炽新向本刊记者指出。据他介绍,PCI是目前全球最严格且级别最高的金融数据安全标准,由 VISA 和 MasterCard 联合多家国际卡组织共同建立,用以增强持卡人的数据安全。获得此认证的公司大多为银行或第三方支付公司。目前在产品层面较少用到这个标准,但是未来将会有所涉及。
钟炽新坦言,PCI认证极其复杂,只有极少数企业才能顺利通过。其难度主要来自于渗透测试和漏洞扫描两个方面。它要求企业每年(至少进行一次)对内网和外网实施渗透测试评估。每一台关联主机和所有的应用服务,都会被仔细的扫描以识别潜在的漏洞,所有潜在的漏洞都必须进行审查。在测试中发现任何可利用的漏洞,企业必须修复问题之后重复测试,并提供系统已修复漏洞的证明。
“智能制造”时代,充分利用“两化”技术赋能传统产品将使企业获得全新的市场战略优势。尽管目前中国的“两化”产品距离世界一流阵营还有一些差距,但中国正在大步向前。
例如,中国的各大巨头早已经开始了在智能控制和物联网领域的系统谋划和前瞻布局,一些实力雄厚的互联网企业以及大量的创新创业型企业纷纷也加入到“两化”进程中,包括三大运营商加上华为、中兴等传统电信厂商,互联网行业里的阿里和腾讯,小米更是号称最大的物联网生态系统,百度、京东、美团等也都至少在不同的细分领域里切入进去。
从技术发展趋势上看,5G、NB-IoT、WIFI、蓝牙、Zigbee、智能手机和亚马逊Alexa平台等新兴技术,也为产品的“两化”提供了坚实的技术支撑基础。
但成败的关键一环,是能否经得起网络安全的考验。对于中国大多数企业用于网络安全的资源十分有限的事实,钟炽新认为,如何利用这部分资源产生更大的产出就显得十分重要。
钟炽新建议,首先,企业需要构建一个风险管理框架,做到理解自己产品系统当中可能存在的漏洞,以及这些漏洞被利用后可能造成的后果,在这之后,建立一个降低风险的具体方案,使得系统的风险能够降低到一个可以接受的水平。
其次,需要制定满足隐私政策要求的安全计划,这就需要企业根据实际业务需求进行剪裁实施。比如,根据资产所有者、系统集成商和产品供应商等不同的企业角色定位,对应完成不同的安全标准要求。
“正如华为的任正非先生所强调的那样,网络安全和隐私保护是华为的最高纲领。在当前的国际贸易形势下,合规是重中之重。Intertek天祥集团将在合规和产品技术升级方面助力企业顺利进入理想的国际市场。” 钟炽新最后表示。
本文编辑:王素。联系邮箱:417111519@qq.com