考虑到安全上所面临的风险,下面这种情况就让人有些无法理解了——一些物联网设备供应商不允许像Cerrudo这样的研究员测试他们的产品——除非Cerrudo自己出钱买。
“更有甚者,当得知你隶属一家安全公司后,一些供应商甚至不会把产品卖给你,”Cerrudo说,不过他并未指出具体的供应商公司名字。“我在了解一款智能街道照明系统时就遇到了这个麻烦。我试着去买一台,但他们连价格都不报给我。”
Cerrudo说,还没落好脚的新公司视安全研究公司为某种威胁,而一些更成熟的制造商则会和第三方安全研究公司甚至黑客一同寻找安全漏洞。
现实情况是,即使制造商和安全研究员们一同找到了软件漏洞,为覆盖城市的整个系统推送更新可能也要花数月甚至数年的时间。
“有时智能设备供应商没有设置合适的更新推送机制,他们需要类似的机制来完成安全修复,并将补丁快速部署到系统和设备上,”他说。“这真的是一项巨大的挑战,显然,发现安全问题的第一要务就是快速修复。如果做不到,这意味着你将彻底暴露在攻击者面前。”
那么为了保护智慧城市需要做什么呢?政府部门需要在采购智慧城市解决方案时更加负责,他们不仅仅应该看重优秀的功能,还应该花时间了解其安全系统,并确保安全系统真的有用。
Cerrudo号召每个城市都建立一个计算机紧急应对小组(Computer Emergency Response Team)——就像许多大企业做的那样——用来应对黑客攻击,处理漏洞,并帮助确保智能设备供应商修复此类漏洞,同时对系统做进一步的侵入测试。
“一旦发生互联网入侵事故,城市管理者将很难做到有效应对。一座城市或许能够防范地震和洪水,但我认为许多城市对互联网袭击没有任何概念和应对措施。”
