五分之四的物聯(lián)網(wǎng)(IoT)設備制造商未能通過基本的網(wǎng)絡安全實踐，因為它們沒有為人們提供披露其產(chǎn)品安全漏洞的途徑——這可能會讓設備用戶面臨網(wǎng)絡攻擊和隱私泄露的風險。

　　物聯(lián)網(wǎng)安全基金會 (IoTSF) 是一個旨在幫助鼓勵保護物聯(lián)網(wǎng)安全的科技行業(yè)組織，其研究分析了數(shù)百家受歡迎的物聯(lián)網(wǎng)產(chǎn)品制造商，發(fā)現(xiàn)只有五分之一多的廣告在公共渠道上報告安全漏洞 以便修復它們。

　　自去年以來，提供這種渠道的供應商的 21% 略有上升，物聯(lián)網(wǎng)安全基金會的報告將其描述為提供其所描述的“基本衛(wèi)生機制”方面的“冰川”進展。

　　盡管包括英國、美國、新加坡、印度和澳大利亞在內(nèi)的世界各國以及歐盟都試圖強調(diào)物聯(lián)網(wǎng)設備網(wǎng)絡安全的重要性以及能夠披露漏洞的能力。

　　報告指出，缺乏漏洞披露政策的部分原因可能是首次進入物聯(lián)網(wǎng)市場的“非傳統(tǒng)IT企業(yè)”，比如時尚提供商推出聯(lián)網(wǎng)產(chǎn)品，或者廚房電器制造商在其產(chǎn)品中添加智能功能。

　　在這些情況下，制造商很可能是第一次不得不考慮將網(wǎng)絡安全構建到產(chǎn)品中，因此漏洞不僅可以找到進入設備的途徑，而且沒有固定的報告途徑。

　　不過，該報告指出，“自2017年以來，任何有互聯(lián)網(wǎng)連接的人都可以免費獲得與物聯(lián)網(wǎng)相關的最佳實踐”，五分之四的公司未能提供一種機制來報告安全漏洞，以便修復這些漏洞，這種方式“低得令人無法接受”--這可能指向更廣泛的問題。

　　“這通常只是冰山一角——這是一種不安全的金絲雀，讓你意識到這些公司可能也很少關注安全性，”研究背后的公司 Copper Horse 的首席執(zhí)行官大衛(wèi)羅杰斯告訴 ZDNet。

　　在對待安全研究人員的態(tài)度方面，一些公司仍處于黑暗時代。他們的反應將是讓律師介入研究人員或試圖迫使他們加入保密協(xié)議。這真是愚蠢的行為，因為我們從2014年就有了ISO標準，這被認為是很好的做法，而且時間更長了。當立法出臺時，其中一些公司將受到巨大沖擊?！?/p>

　　物聯(lián)網(wǎng)設備越來越成為家庭和辦公室的固定裝置。 雖然許多家庭品牌確實確保他們的產(chǎn)品配備了良好的安全措施——報告引用了包括索尼、松下、三星、LG、谷歌、微軟、戴爾、聯(lián)想、亞馬遜、羅技和蘋果在內(nèi)的科技公司——但消費者通常會 購買不太注重安全性的更便宜的替代品。

　　這意味著如果發(fā)現(xiàn)安全漏洞并且無法通知制造商，則可能會使用戶處于危險之中。對于似乎已經(jīng)關閉的公司來說尤其如此——報告指出，有些公司已經(jīng)這樣做了——這意味著即使有辦法報告漏洞，也不太可能得到修復。

　　但是，盡管研究論文經(jīng)常呈現(xiàn)當今物聯(lián)網(wǎng)安全形勢的嚴峻形勢，但物聯(lián)網(wǎng)安全基金會認為，最終，這種情況會發(fā)生變化，并將成為產(chǎn)品設計的基本組成部分。

　　“安全有點像質量。要正確交付，它需要在公司內(nèi)的所有流程中普遍存在，這樣才能確保始終如一——也就是說，不是事后的想法或附加的，”John Moor，經(jīng)理董事物聯(lián)網(wǎng)安全基金會告訴 ZDNet。

　　“我相信，在過去 30 年中，隨著我們將社會和經(jīng)濟轉變?yōu)楦訑?shù)字化，安全將遵循與質量相似的路徑——如果我們對其基本重要性建立一個普遍的理解并正確處理流程，我們會自然而然地做到這一點——而不是作為附加組件，”他補充道。