物联网安全是意识问题不是技术问题

　　创造者和用户经常默认这些设备不会、不能也不必要被好好维护。他们对用户不可见，也不提供接口或界面来进行管理。

　　联网汽车是个有趣的例子，完美阐述了某个单一的东西是怎么成为物联网安全问题的。大多数现代汽车都会有很多不同的网络，包括一个控制器局域网(CAN)总线、手机匹配蓝牙和无线轮胎压力传感器。有些汽车甚至还有像安吉星 (OnStar)这样的蜂窝连接。但是连入这些网络的操作系统，直到最近才具备了自动更新的能力。之前，想要对受影响的车辆进行软件升级和打补丁，都必须将车辆召回才行。用户没有为车辆网络和计算机的安全买单义务。

　　不过，最近有些厂家已经能够进行车辆软件的自动升级了。比如说，特斯拉。这家电动车领军企业，从一开始就将网络安全放在了首位。除了在设计阶段考虑安全，还提供经常性的无线补丁和更新。一辆特斯拉汽车，就是一台主动管理和维护的设备。从心理视角，没人会认为自家车库里的特斯拉会是个PIoT设备。

　　但另一方面，其他车辆，那些从未托管，从未维护，从未打补丁的汽车，则落入了PIoT的范畴。有趣的是，随着近年来对汽车黑客活动的关注，董事会层面上车辆网络安全的价值倒是越来越被认可，只是要让用户转化到新的车辆安全设计上可能要花去不短的时间。

　　为分析设备是否归属PIoTa范畴，我们可以将它们放到以设备创造者安全意识和终端用户感知安全价值为坐标轴的二维空间里。

　　当创造者和用户理解安全的重要性，IoT问题就会变少。这些设备会被谨慎设计，方便管理，通常也不会成为PIoT的一部分。至于其他3个象限，遭遇问题简直是必须的。

　　如果用户不渴求安全，设备中就很有可能摘除安全性——即使创造者知道安全的重要性。如果用户需求安全，而创造者没理会这一需求，那么安全将会跟个创可贴似的直到成品的最后一刻才松松垮垮地贴到产品上，不过是给用户造成一种受到保护的假象而已，能卖出去就好。

　　而当用户和创造者都不关心安全，那就真是绝望了。创造者对安全会连个眼神都欠奉。我们在智能灯泡之类的物联网设备中所看到的就是这种景象，而这些被忽视的小设备往往会带来新的漏洞。

　　想改善现状，有几条建议可用。激励措施(或惩罚措施)能鼓励创造者在设计产品时更严肃认真地考虑安全问题。没有安全经验的程序员可以利用广为使用的工具来创建更安全的产品。这样能更容易地做正确的事。

　　我们还可以培养用户的自我保护意识，教会他们该看哪些点来评估产品安全特性。虽然用户常能体会到对隐私和安全的需要，其实没几个用户能看出强安全性和骗人的万灵油之间的差别。

　　美国保险商实验室刚刚放出了一份物联网设备认证，不过，至少目前，还不能在哪款产品上看到这一认证。这枚显眼的小戳将让用户在做购买决策时将安全纳入考虑范围。

　　通过考虑物联网设备用户和创造者的心理，我们可以拿出更好的方法，看出这些设备中哪些是PIoT的一部分，帮助改善IT生态系统的整体安全。

　　这些建议中没有哪一条是万灵药，但基于思维方式的方法可以产生根本性的改善，不仅仅是对设备自身的安全性而言，也是对接入我们网络的每样东西的安全性而言。而随着我们踏入未来，物联网将很快成为生活中必不可少的一部分。