Закон о конфиденциальности штата Калифорния означает, что пришло время повысить безопасность Интернета вещей

Калифорнийский закон о защите прав потребителей (CCPA) вступает в силу 1 января и дает жителям Калифорнии право узнавать, какие данные о них собирают компании, и определяет, как им следует защищать данные потребителей. А это значит, что настало время для безопасности Интернета.

Джек Огава, старший директор по маркетингу (и гуру безопасности IoT) для Cypress Semiconductor, рассказал мне о последствиях закона для всех, кто делает программное обеспечение, оборудование, микросхемы и системы для Интернета вещей, что делает повседневные объекты умными и подключен.

Cypress, основной производитель чипов для IoT-устройств, находится в процессе приобретения Infineon примерно за 10 миллиардов долларов, Как и любой другой технологической компании, Cypress, вероятно, придется соблюдать закон штата Калифорния в США и помочь обеспечить соответствие технических продуктов основным мерам безопасности. закон — предупредительный выстрели это означает, что технические дизайнеры должны учитывать безопасность при разработке программного и аппаратного обеспечения в будущем.

Вот отредактированная стенограмма нашего интервью.

Вверху: Джек Огава, старший директор по маркетингу (и гуру безопасности Интернета вещей) для Cypress.

Изображение предоставлено Cypress

VentureBeat: Закон, который вступает в силу в Калифорнии, насколько вы обеспокоены тем, как это повлияет на IoT? Каковы последствия для отрасли?

Джек Огава: Мы рады, что закон вступит в силу. Не обязательно, потому что это совершенный закон, если есть такая вещь, как совершенный закон. Лично у меня нет никаких заблуждений, что закон идеален. Но это показатель того, что нужно для Интернета вещей.

Если вы думаете об эволюции рынка, мы сейчас находимся в состоянии, когда технология привела нас к определенной точке. У нас есть связь. Wi-Fi достиг точки, где он вездесущ. Доступ к Интернету довольно распространен по всему миру. Это вращало это видение миллиардов единиц, говоря, что все будет связано.

Это интересно, и с технологической точки зрения мы видим это в наших домах. Мы видим повсеместность этих подключенных устройств в наших домах. Но быстро происходит то, что вы получаете то, что я называю нормативным периодом, когда социальные проблемы выходят на первый план, самым большим из которых является конфиденциальность. Теперь вы вступаете в этот нормативный период, когда все говорят, что нам нужна конфиденциальность, а затем вам нужно иметь какое-то управление устройствами, чтобы создать среду, в которой вы можете предоставить эту возможность экономически эффективным способом.

Что я говорю конкретно, поскольку сегодня это касается конфиденциальности, так это отсутствие стандартов. Там нет порога. Следовательно, эти устройства могут быть где угодно, от нулевой защиты до всего, что находится между ними по всему спектру. Проблема в том, что, как потребитель, вы не знаете, что вы получаете, потому что каждое устройство предоставляет вещи по-своему с точки зрения конфиденциальности. Но есть и коммерческий аспект проблемы. В таком раздробленном состоянии оказывается, что каждому не по карману иметь собственный ответ.

Причина, по которой мы на самом деле аплодируем появившемуся законопроекту, не в том, что это совершенный закон, а в том, что он начнет нормативный цикл, в котором ответ на вопрос «Как вы поддерживаете конфиденциальность?» Станет стандартным и вездесущим. , Когда это происходит, оно становится доступным и становится доступным для потребителей.

VentureBeat: Какие вещи требуются по закону?

Огава: Есть основные вещи. Вы должны иметь пароль для подключения к подключенной сети. Ваша способность использовать пароль по умолчанию — вы сталкиваетесь с этим выбором. Вы должны выбрать этот выбор. По умолчанию вы будете вынуждены создать новый пароль. Это интересно. Если вы посмотрите на большое количество данных, то эта простая вещь используется во многих атаках.

Как производитель микросхем, мы считаем важным другое измерение, заключающееся в возможности установить секретное и неизменное удостоверение личности на вашем оборудовании. Эта позиция основана на концепции способности доверять, так же как и возможность иметь уникальный пароль пользователя.

VentureBeat: Это просто личность пользователя или они называют это чем-то конкретным?

Огава: Это личность пользователя, да, личность конечного пользователя.

VentureBeat: Требуется ли многофакторная аутентификация?

Огава: Нет, но это предусмотрено законом. Требуется ввести уникальное имя пользователя. Закон включает некоторые другие утверждения, касающиеся того, что если вы вообще знакомы с сетью, он также пытается охватить и оборудование. Одним из аспектов является аутентификация пользователя, а затем закон также пытается описать, как аутентифицировать оборудование.

Это другая часть, которую часто забывают. Так много энергии сосредоточено на аутентификации вас как личности, но большой процент атак фактически подделывает оборудование, чтобы попасть в вашу сеть. Когда вы подделываете оборудование, вы можете использовать его разрешения при входе в сеть. Защита вашего оборудования так же важна с точки зрения конфиденциальности, как и уникальная идентификация вас как личности.

На высоком уровне это самые большие вещи в законе. Это требование для лучшей идентификации личности, а затем и защита данных. Это в основном сводится к возможности шифровать данные. Тогда третье измерение должно быть в состоянии защитить само устройство.

Вверху: DedSec — вымышленная хакерская группа в игре Watch Dogs 2, взломавшая интернет вещей.

Кредит Фотографии: Дин Такахаши

VentureBeat: Как долго вы отслеживали это? Была ли какая-то публичная история для всего этого, на что индустрия должна была влиять?

Огава: В частности, в отношении SB327, я не знаю, что такое общественный комментарий, как он вписался — у меня нет такого фона под рукой. Это предшествует некоторым вещам, которые я отслеживал.

VentureBeat: Это ситуация, когда, если этого требует Калифорния, почти все должны соблюдать это?

Огава: Это тезис. Законодательный орган Калифорнии решил взять на себя руководство по этому вопросу. Я прочитал аналогию с автомобильными выбросами. Государство чувствовало, что занять лидирующую позицию по этому вопросу было важно. Мы начинаем заставлять клиентов спрашивать нас об этом.

VentureBeat: Когда я размышлял о безопасности IoT, он напомнил мне, когда я бывал на конференциях Black Hat. Они всегда говорили об этих нетехнических компаниях и нетехнологических отраслях, которые бы разрабатывали новый продукт, но в нем не было бы никакой безопасности — особенно поначалу, потому что он никогда не предназначался для соединения. И тогда у вас есть IoT, который соединяет те вещи, которые никогда не были связаны раньше. В основном они вышли как … ну, давайте посмотрим, хотят ли люди использовать такие вещи, поэтому давайте встроим связь в повседневные вещи и посмотрим, что произойдет.

Другая тенденция заключалась в том, что использовались мощность процессора и время автономной работы, а ограничения часто были настолько жесткими, что у вас не было возможности встроить в него технологию шифрования или защиты. Шаблон для представления этих вещей пошел по этому пути. Сначала вы сделали это не связано. Тогда вы сделали это подключенным. Затем вам нужно было подумать о безопасности, когда у вас хватит вычислительной мощности и времени автономной работы. Но ты никогда не делал этого в начале. Мне показалось, что так развивался IoT, как и почти любой другой продукт, связанный с сетью.

Огава: Ты абсолютно прав. Это именно та траектория, по которой мы шли. Наша мантра, если хотите, и одна из причин, по которой мы аплодируем законодательству, заключается в том, что оно заставит устройства IoT быть безопасными по своему замыслу. Чтобы сделать это правильно — и сделать это экономично, что не менее важно, — обеспечение безопасности на этапе проектирования имеет решающее значение.

Вот как отрасль ответит на это, я думаю. Эволюция этого будет — во-первых, у меня не могло быть подключения. Теперь я могу выйти на рынок с возможностью подключения, но никто не спросил меня о безопасности. Хорошо, теперь есть правила безопасности, поэтому я должен соблюдать. Каков наиболее экономически эффективный способ достижения соответствия? Классически это раскроет инженеров. Если бы вам пришлось начать все сначала, как бы вы включили безопасность?

VentureBeat: я вижу, что разные компании больше говорят об этом. Это была большая тема на Arm TechCon конференция, например. Они предприняли много отраслевых попыток улучшить безопасность. Такое ощущение, что мы находимся на стадии, когда люди больше не заботятся о вычислительной мощности. Они заботятся о конфиденциальности и безопасности и улучшают ее. Это новый этап, на котором мы сейчас находимся? Это удовлетворительно для вас?

Огава: Это интересный вопрос. Для индустрии IoT в целом это довольно фрагментированный рынок. В совокупности вы можете претендовать на миллионы или миллиарды отправленных устройств, но это разбросано по интеллектуальным замкам, термостатам, фитнес-трекерам, как вы это называете. Задача этих парней состоит в том, чтобы убедиться, что то, что они делают, понравится их конечному избирательному округу.

Когда вы говорите об обработке и мощности, это пара горизонтальных возможностей, которые затрагивают всех. Я думаю, что безопасность станет еще одной из тех горизонтальных вещей, которые влияют на всех. Будет ли тот или иной парень умных замков управлять миллионом устройств, этот вопрос является своего рода ортогональным основному вопросу о том, должен ли он соблюдать законы о безопасности и конфиденциальности? Потому что он делает. И, кстати, парень с термостатом, и парень с фитнес-трекером тоже. Но это одна из тех горизонтальных тем, которые определяют сегмент в целом.

VentureBeat: Если компании не готовы к закону штата Калифорния, я полагаю, что они должны двигаться.

Огава: Это одна из тех вещей. Вы достаточно долго следите за технологиями. Законодатели берут это на себя, но существует много двусмысленности в том, как оно применяется и как поставщики достигают соответствия. Будут ли какие-либо юридические или гражданские последствия для конкретного закона, сомнительно, если честно. Но, как я уже сказал, многие клиенты смотрят на это и говорят: «Это грядет». Они не хотят быть тем, кто несет ответственность, юридически или иным образом, потому что они не поддерживают закон. Будет интересно посмотреть, как продавцы реагируют на это, но я ожидаю реакции. Я не думаю, что люди смогут игнорировать это.

VentureBeat: Что касается более широких стандартов для соединения всего, кажется ли, что это объединяется? Я знаю, что есть такие вещи, как SmartThings от Samsung, Я не знаю, все ли взаимозаменяемо, или еще предстоит пройти долгий путь.

Огава: С точки зрения конечного потребителя, есть еще путь. Связь имеет тенденцию следовать сценарию использования. С точки зрения базового протокола и стандартизации, все по-прежнему так, как было. Wi-Fi оказался сильным, повсеместным протоколом, и мы считаем, что он станет победителем с точки зрения IoT. Но это не значит, что все эти другие протоколы внезапно исчезнут. Существуют и другие варианты использования, такие как сетка Bluetooth, которые будут продолжены.

Вверху: Masayoshi Son представляет 1 триллион интернет-устройств, которые должны быть защищены.

Кредит Фотографии: Дин Такахаши

VentureBeat: Что касается таких вопросов, как стоимость, есть ли у вас отвращение от людей, которые говорят, что безопасность стоит слишком дорого, или кто-то другой должен платить за безопасность? Как проходит этот разговор?

Огава: Это интересная проблема. Если вы посмотрите на стоимость оборудования — я всегда использую пример стиральной машины, потому что это легко понять. Если вы посмотрите на стоимость стиральной машины, пытаясь добавить к ней Wi-Fi — это отнимает прибыль от стиральной машины. Люди не собираются платить еще 100 долларов за Wi-Fi, а не среди населения в целом. Там настоящая проблема.

В этом вопросе есть два аспекта. Во-первых, производители устройств IoT должны отвечать на вопрос «почему»? На многие вопросы ответит большая обработка, как вы уже упоминали ранее, и умение быть более умным. Примером этого может быть машинное обучение для профилактического обслуживания двигателя внутри стиральной машины. В машине есть некоторый интеллект, который обнаруживает какую-то странную вибрацию, поэтому вы должны обратить на это внимание, прежде чем все это умрет. Мы видим, как это происходит.

Что касается безопасности, я считаю, что это больше — проблема стоимости владения, с которой приходится обходиться производителям устройств IoT. Подобно тому, как сегодня у большинства компаний есть ИТ-отдел, который решает все проблемы с сетью, к устройствам IoT предъявляются аналогичные требования: ИТ-администратор и разработчики управляют всеми этими миллионами устройств. Безопасность относится к категории эффективности по сравнению с затратами на сетевые затраты. Это означает, что если вы выберете стандартный способ развертывания системы безопасности, это в конечном итоге сэкономит вам деньги, а не каждый из ваших продуктов будет иметь разную версию безопасности.

Это похоже на вызов ИТ. Большинство компаний не позволяют своим сотрудникам просто смешивать и сочетать свои ПК, потому что это сводит ИТ-специалистов с ума и увеличивает затраты. Большинство этих компаний понимают, что когда они создают систему безопасности, эффективность управления сетью будет большим выигрышем.



Источник: Закон о конфиденциальности штата Калифорния означает, что пришло время повысить безопасность Интернета вещей


Похожие материалы по теме: Закон о конфиденциальности штата Калифорния означает, что пришло время повысить безопасность Интернета вещей

Leave a comment