确保物联网采用中的网络安全和隐私

物联网仍处于起步阶段，但随着设备越来越联网，其安全隐患开始让企业头疼。与消费者不同，公司“被黑客入侵”会更直接地导致声誉受损、收入损失，甚至索赔。

TechWarn 的网络安全专家 Jack Warner 表示，公司在线安全面临的最大风险来自员工 .训练有素的员工或缺乏明确的 IT 政策会助长鲁莽行为和对敏感数据的粗心处理。员工可能不知道设备的功能和风险，或者有安全厌恶的心态来注意到潜在的破坏性泄漏。

对于企业来说，让具有安全意识的工程师团队审查所有办公设备比以往任何时候都更加重要。对于允许设备收集哪些数据以及数据必须遵守的规则，必须制定明确的政策。该政策必须同样适用于由公司拥有和部署的设备以及员工拥有的设备收集的数据。

案例研究：健身应用数据

2017 年 11 月，健身应用 Strava 发布的用户收集的数据。尽管数据已经匿名，但它仍然引起了广泛关注，因为分析人员发现数据揭示了秘密军事基地的位置，因为士兵们会在基地周围慢跑、巡逻或锻炼时佩戴他们的健身物联网设备。

锻炼路线概述了基地的大小和位置，估计了驻扎在那里的士兵数量，甚至粗略的巡逻频率可能是多少。 Strava 数据泄露给美军的行动带来了巨大的安全风险，而且完全是自己造成的。

此类信息也很容易损害商业组织。测试地点、侦察地点或交付例程很可能是组织受到严密保护的知识产权。

员工可能会随意使用许多其他物联网设备来泄露敏感数据。员工电话可能会记录他们的位置并用于拍照。员工可能会无意中通过社交媒体分享他们的位置，或者使用手机上的智能扫描仪应用程序将敏感数据转换为 pdf。密码可能会粘贴到个人电子邮件帐户的草稿文件夹中，或者客户信息可能会出现在员工的个人联系人列表中，然后从那里上传到各种应用。

办公室联网设备

如果从一开始就没有考虑信息安全，典型的办公室可能已经充满了不尊重隐私并造成安全漏洞的设备。例如，打印机可能会长时间保留打印的文档（甚至在线上传），而空气净化器可能会将收集到的数据提供给中央服务器。

即使是恒温器、灯或门锁等系统，也通常具有网络功能，并且可能会与广告商或至少是中央云服务共享其数据。至少，这为入侵者或竞争对手提供了获取公司机密的机会。

公司网络和内联网

虽然我们对面向公众的信息变得更加敏感，但内部数据库和组织网络仍然经常被视为“安全的”。黑客通常在这里可以自由发挥，一旦进入网络，就可以利用他们的特权连接到数据库、用病毒感染计算机或破坏关键设备。

路由器是办公网络中最容易被忽视的设备之一。虽然员工的设备会定期收到自动更新，服务器受到高度关注，但路由器很少被检查，也不会收到更新。然而，所有公司流量都将通过它们，任何控制路由器的人都可以拦截、变形、注入或更改发送到互联网和其他内部设备的任何数据。

一款好的 VPN 路由器并不难得到，但型号之间的价格差异可能很大，而且它们的好处对买家和运营商来说并不明显。

依赖第三方托管服务提供商

对组织隐私需求的最大威胁已成为托管服务的广泛使用，包括电子邮件、聊天和文件管理。

几年前，至少对于大型组织而言，管理自己的电子邮件服务器并将文档存储在内部服务器上的做法仍然相对普遍，但如今，它几乎完全由第三方云提供商提供。电子邮件、聊天、文档、软件代码——许多公司的办公室内几乎没有任何东西。

永恒的斗争

互联网服务和物联网设备的发展方式与企业的隐私和安全需求大相径庭。到目前为止，几乎没有什么阻力或对更多安全意识服务的需求。

对于企业而言，最可持续的策略可能是限制他们从客户那里收集的信息量，并将这些信息与其知识产权一起托管在内部自行维护的物理基础设施上。

此博客的作者是 TechWarn 的网络安全专家 Jack Warner

关于作者

Jack 是一位多才多艺的网络安全专家，在 TechWarn 拥有多年经验，TechWarn 是世界一流网络安全公司值得信赖的数字机构。杰克本人是一位热情的数字安全倡导者，他经常为科技博客和数字媒体撰稿，分享有关举报和网络安全工具等主题的专家见解。