答案
建议、员工推荐、揭秘等等。让我们来帮助你。
插图:Dana Davis
山姆大叔有一个保护你智能家居的计划。这就是我们为什么持怀疑态度。
智能家居经常受到批评。人们担心他们的设备在窥探他们或者向不良公司发送个人数据。或者他们的一举一动和购买记录都被跟踪。或者一些可怕的陌生人可以通过他们自己的安全摄像头与他们的孩子交谈。
有时他们是对的。虽然有一些引人注目的标题引发了大规模的技术恐慌,但与我们家中的设备数量相比,发生的事件数量微不足道。尽管如此,威胁是真实存在的,而且目前行业范围内的安全措施标准并不存在。
这将很快发生改变。美国联邦通信委员会最近宣布,将与白宫、零售商和设备制造商联合推出美国网络信任标记计划,该计划旨在认证各种智能设备的隐私和安全功能。该计划的重要思想是使人们更容易做出明智、安全的选择。
对于联邦政府终于给予消费者安全和隐私关注,这是一个令人鼓舞的举动。但在深入研究该计划的具体细节并听取智能家居公司的反馈后,我们对此持保留态度——至少在更多具体信息发布之前是这样。
综合来看,Wirecutter的智能家居团队拥有几十年的设备研究和测试经验,其中包括与公司深入沟通关于该计划将涵盖的安全和隐私政策和程序(我们尽力指导我们的读者如何最好地保护自己))。我们理解这个问题有多么复杂,特别是因为今天的技术与移动应用和云计算相交,而且是专门为更新而设计的。对其中任何一个方面的单一软件更改都可以立即将一个安全设备变成一个存在漏洞的设备。换句话说,说一个设备更安全与说一个设备实际上是安全的是两回事。
下面是该计划预计如何运作、我们赞赏的方面以及为了支持该倡议仍需关注的领域。
该计划预计如何运作
美国网络信任标记计划预计将于2024年底推出。信任标记的设计尚未最终确定,但预计将包括徽章以及一种类似于网络营养标签的东西,其中包含有关产品隐私和安全实践的信息,以及一个链接到设备安全历史数据库的QR码。
网络信任标记有点像能源之星 。这个由美国环境保护署领导的标准和标签计划于上世纪90年代初推出,帮助公司生产更环保的设备,并向消费者保证购买时的可靠性。这一次,目标是为所有联网设备提供有关公众能理解的网络安全问题的信息,包括安全摄像头、智能灯泡、智能恒温器、健身手环、智能洗衣机和计算机路由器等。
要获得智能设备的美国网络信任标记,公司需要符合由国家标准与技术研究所制定的一套技术标准。 尽管该计划的最终细节尚未公布,但NIST建议一些标准应包括:
- 强大且唯一的默认密码
- 能够识别未经授权的访问
- 在现场和传输过程中的数据保护(加密)
- 能够接收软件更新
一旦设备获得认证,就可以在其包装上贴上美国网络信任标记。
**整个计划是自愿参与的。**这更多是政府用来督促公司改进的方式,而不是行业命令。其中一部分精神是联邦政府认为制造商应该负责教育他们的客户关于其产品的网络安全影响。“如果消费者了解如何更安全,这真的是一个胜利,”白宫新闻发布会上负责企业隐私和数据保护的贝斯特买的高级主管兼企业隐私和数据保护负责人迈克尔·多兰说道。“消费者更受保护。制造商处于更好的位置。环境处于更好的位置,因为产品被重新销售而不仅仅是回收。我们非常高兴支持这一计划。”
我们喜欢的地方
这真是时候到了。“物联网”一词最早出现在1999年。自那时以来,智能设备在人们的生活中变得更加先进和普及。随之而来的是风险。为了实现新的功能,像恒温器、灯泡和门铃这样的设备需要访问更多的私人信息,如电子邮件地址和位置信息,还有指纹、语音配置文件和面部扫描。
除了实现新功能,消费者通常不知不觉地放弃的这些私人数据也成为了公司的一项利润丰厚的收入来源,它们学会了如何将其用于定向广告和高级分析,以跟踪你的习惯和消费。制造商通常会在冗长的隐私政策中隐藏他们的计划,大多数消费者根本无法理解。许多人根本不知道他们的设备在做什么——他们只是点击“确定”,这样智能烘干机就会在衣物干燥时提醒他们。一个以简明语言解释所有这些内容的普遍计划早就应该出现了。这是一件非常好的事情。
“我认为消费者现在感觉隐私根本不存在,”伊利诺伊州国会议员简·沙科斯基在白宫宣布这一倡议的新闻发布会上说。“这是一个重要的进步。”
**设备数据库将保持最新。**每个带有网络信任标记的设备都将有一个二维码,购物者可以扫描该二维码以访问包含特定设备当前安全性和隐私政策的数据库。这意味着新功能、隐私政策更新和软件更新都可以包括在内。白宫官员还表示,他们打算要求公司每年重新认证其设备,这理论上意味着你不必担心你的新智能恒温器或灯泡会因过时的网络安全实践而被遗弃。
“我们不想创建一个过时的标签,上面写着‘该产品被认证为安全’,所以永远保持安全,”美国副国家安全顾问安妮·诺伯格说。“二维码将提供有关持续和遵守网络安全标准的最新信息。”
**许多公司支持该计划。**虽然这是自愿参与的,但有20家公司出席并发表支持该倡议的声明,包括亚马逊、百思买、谷歌、三星、LG电子、罗技等,以及卡内基梅隆大学、连接标准联盟和消费技术协会。他们都承诺向消费者宣传美国网络信任标记及其含义。 "从历史角度来看,当消费者对标志的含义有很高的认知度,并且公众对标志所承诺的结果有信心时,标签计划是有效的," Lutron智能家居高级市场经理斯科特·约翰斯顿说道。
我们的关切 {#concerns}
**有很多未知因素。**尽管该系统将基于NIST标准,但在该计划正式启动之前还有很多工作要做。 "我们将要经历很多流程,"诺伯格说道。 "现在,我们相信该计划的结构非常成功,但我们将一步一步地进行推进。"
诺伯格表示,很多公司已经根据NIST的建议制造产品。然而,白宫预计美国网络信任标志将在2024年底前最终确定,之后会有带有该标志的设备面市。
**并非所有人都对细节达成一致。**白宫活动中宣布的计划之一是,公司将能够自愿证明他们符合拟议的安全和隐私标准。换句话说,这将是一个诚信制度---这基本上就是目前国家所采用的制度。
然而,与该说法相矛盾的是,诺伯格在接受Wirecutter采访时向他们保证,美国网络信任标志认证将基于经过验证的第三方测试,而不仅仅是制造商的说法。 "我们不认为自我认证是我们想要采取的方式,"她说。 "我们希望这些第三方获得认证。"
Wirecutter在自我认证方面有多年的经验。事实上,我们一直要求所有制造我们智能家居产品的公司确认他们的安全和隐私政策,并在我们的评论中报告这些信息。在这个过程中,我们经常发现制造商没有透露、错误描述或根本不知道的事情(或者至少声称他们不知道)。即使是有良好意图的公司也会犯错,所以在没有正式认证的情况下,我们不确定让狐狸看守鸡舍是否有太大的好处。
**对消费者来说有多大的用处尚不清楚。**表面上看,美国网络信任标志似乎很像能源之星,根据大多数衡量标准来看,能源之星已经取得了成功。然而,它们在至少一个关键方面存在差异:能源之星的标准和要求是可衡量的。透明度给购买者带来信心。如果你购买了一个能源之星认证的产品,你就知道它比非认证型号更高效的百分比。
而目前的美国网络信任标志并没有提供近似于同等级别的明确性,这可能使其用处较小。理论上,一台设备可以获得网络信任标志,然后在重新认证失败的情况下仍然可以在商店货架上出售,带有这个令人向往的标志。
**这是一项巨大的工程。**虽然我们不会说提供与能源之星一样具体和有用的信息是不可能的,但根据我们迄今看到的拟议措施,我们很难想象如此庞大的网络安全计划如何可行。特别是对于安全漏洞的测试需要涉及与网络连接的设备、相关应用程序和云连接,这是一个复杂、耗时且昂贵的过程。(在我们自己的研究中,我们发现渗透测试的成本可能高达数万美元---仅针对单个设备。)我们不确定政府是否能够或愿意提供所需的资金来测试成千上万个现有和新产品---然后每年重新测试它们,也许在某些情况下需要多年时间。
**设备使用是一个关键因素。**我们很高兴得知计划中计划了自动唯一密码和加密,因为它们提供了基本的安全性。这一点很关键,因为将重大的安全决策留给消费者已经被证明是有问题的。 一个重要的问题仍然存在:如果将一个经过认证的安全设备与潜在易受攻击的未经认证的设备配对,会发生什么?
例如,尽管大多数智能设备制造商告诉Wirecutter他们不会销售或共享个人用户数据,但如果将这些设备与亚马逊Alexa或谷歌Home等第三方平台集成,您已选择共享个人数据。目前尚不清楚这些保证是否仍然适用(除非这些产品也具有美国网络信任标志,当然)。
**制造商持谨慎支持态度。**我们联系了我们目前智能家居选择背后的所有30家公司,以了解他们对该计划的支持情况。只有15家公司回复了我们,其中四家公司表示目前无法发表评论。其他公司表示,尽管他们完全支持该倡议,但他们认为他们已经在制造符合NIST标准的产品。
这对Wirecutter(以及您)有何影响
由于存在如此多的未知数,合作伙伴如此之少,时间线如此之长,我们不愿意说这个出于善意的倡议将会产生什么影响,如果有的话。毕竟,它目前只是一系列提案,而且是自愿的。更重要的是,我们不相信购物者会特别热衷于使用提议的QR码方案进行购物过道安全侦察。人们想要的是答案,而不是研究项目。
对于Wirecutter来说,这个倡议希望实现的很多目标实际上与我们已经在做的工作重复了。正如我们所指出的,我们要求我们所有智能家居选择的制造商提供有关其安全和隐私实践的详细信息。这没有什么不同,只是该计划有一套提议的技术规范和可能强制性的测试。如果能实现这些目标,那将是朝着正确方向迈出的重要一步,但这是一个很大的“如果”。
本文由Jon Chase和Grant Clauser编辑。
原创文章,作者:纽约时报精选,如若转载,请注明出处:https://pingcer.com/nytimes/new-government-plan-to-secure-your-smart-home/