211service.com
För säkerhets skull måste vi bromsa innovationen inom internetuppkopplade saker
Det är uppfattningen av säkerhetsexperten Bruce Schneier, som fruktar att liv kommer att gå förlorade i en cyberkatastrof om inte regeringar agerar snabbt. 6 september 2018
En Rong Xu
Smarta prylar finns överallt. Chansen är stor att du har dem på din arbetsplats, i ditt hem och kanske på handleden. Enligt en uppskattning från analysföretaget Gartner kommer det att finnas över 11 miljarder internetanslutna enheter (exklusive smartphones och datorer) i omlopp världen över i år, nästan dubbelt så många för bara ett par år sedan.
Många miljarder till kommer snart online. Deras anslutning är det som gör dem så användbara, men det är också en cybersäkerhetsmardröm. Hackare har redan visat att de kan kompromissa med allt från uppkopplade bilar till medicinsk utrustning, och varningarna blir allt starkare om att säkerheten förkortas i stormen för att få ut produkter på marknaden.
I en ny bok som heter Klicka här för att döda alla , hävdar Bruce Schneier att regeringar måste gå in nu för att tvinga företag som utvecklar uppkopplade prylar att göra säkerhet till en prioritet snarare än en eftertanke. Författaren till ett inflytelserik säkerhetsnyhetsbrev och blogga , Schneier är stipendiat vid Berkman Klein Center for Internet and Society vid Harvard University och lektor i offentlig politik vid Harvard Kennedy School. Bland andra roller sitter han också i styrelsen för Electronic Frontier Foundation och är teknisk chef för IBM Resilient, som hjälper företag att förbereda sig för att hantera potentiella cyberhot.
Schneier pratade med MIT Technology Review om de risker vi löper i en allt mer uppkopplad värld och den policy som han anser är akut nödvändig för att hantera dem.
Titeln på din bok verkar medvetet alarmerande. Är det bara ett försök till juiceförsäljning?
Det kan låta som att publicera clickbait, men jag försöker få fram poängen att internet nu påverkar världen på ett direkt fysiskt sätt, och det förändrar allt. Det handlar inte längre om risker för data, utan om risker för liv och egendom. Och titeln påpekar verkligen att det finns fysisk fara här, och att saker och ting är annorlunda än de var för bara fem år sedan.
Hur förändrar denna förändring vår uppfattning om cybersäkerhet?
Våra bilar, vår medicinska utrustning, våra hushållsapparater är nu alla datorer med saker kopplade till dem. Ditt kylskåp är en dator som håller saker kallt, och en mikrovågsugn är en dator som gör saker varma. Och din bil är en dator med fyra hjul och en motor. Datorer är inte längre bara en skärm vi slår på och tittar på, och det är den stora förändringen. Det som var datorsäkerhet, en egen separat värld, är nu allt säkerhet.

En Rong Xu
Du har kommit på en ny term, Internet+, för att kapsla in denna förändring. Men vi har redan frasen internet of things för att beskriva det, eller hur?
Jag hatade att behöva skapa ett annat modeord, för det finns redan för många av dem. Men sakernas internet är för smalt. Det hänvisar till anslutna apparater, termostater och andra prylar. Det är bara en del av det vi pratar om här. Det är verkligen sakernas internet plus datorerna plus tjänsterna plus de stora databaserna som byggs plus internetföretagen plus vi. Jag förkortade precis allt detta till Internet+.
Låt oss fokusera på den amerikanska delen av den ekvationen. Du säger i boken att vi håller på att bli virtuella cyborgs. Vad menar du med det?
Vi är redan intimt knutna till enheter som våra telefoner, som vi tittar på många gånger om dagen, och sökmotorer, som är ungefär som våra onlinehjärnor. Vårt kraftsystem, vårt transportnätverk, våra kommunikationssystem finns alla på internet. Om det går ner, stannar samhället i mycket verklig utsträckning, eftersom vi är så beroende av det på alla nivåer. Datorer är ännu inte allmänt inbäddade i våra kroppar, men de är djupt inbäddade i våra liv.
Kan vi inte bara koppla ur oss själva något för att begränsa riskerna?
Det blir svårare och svårare att göra. Jag försökte köpa en bil som inte var ansluten till internet, och jag misslyckades. Det är inte så att det inte fanns några sådana här bilar tillgängliga, men de i sortimentet jag ville ha kom alla med en internetanslutning. Även om den kunde stängas av fanns det ingen garanti för att hackare inte kunde slå på den igen på distans.
Hackare kan också utnyttja säkerhetsbrister i en typ av enhet för att attackera andra, eller hur?
Det finns många exempel på detta. Mirai-botnätet utnyttjade sårbarheter i hemenheter som DVR:er och webbkameror. Dessa saker togs över av hackare och användes för att starta en attack mot en domännamnsserver, som sedan slog ett gäng populära webbplatser offline. Hackarna som attackerade Target kom in i återförsäljarens betalningsnätverk genom en sårbarhet i IT-systemen hos en entreprenör som arbetar i några av dess butiker.
Sant, men dessa incidenter ledde inte till förlust av liv eller lem, och vi har inte sett många fall som involverar potentiell fysisk skada än, eller hur?
Det har vi inte. De flesta attacker innebär fortfarande kränkningar av data, integritet och konfidentialitet. Men vi går in i en ny era. Jag är uppenbarligen orolig om någon stjäl mina journaler, men vad händer om de ändrar min blodgrupp i databasen? Jag vill inte att någon hackar min bils Bluetooth-anslutning och lyssnar på mina konversationer, men jag vill verkligen inte att de ska inaktivera styrningen. Dessa attacker mot systemens integritet och tillgänglighet är de vi verkligen måste oroa oss för i framtiden, eftersom de direkt påverkar liv och egendom.
Det har varit mycket diskussion i USA i år om cyberhot mot kritisk infrastruktur som elnät och dammar. Hur allvarliga är dessa?
Vi vet att ryska hackare åtminstone två gånger har stängt av strömmen till delar av Ukrainas nät som en del av en bredare militärkampanj. Vi vet att nationalstatshackare har penetrerat system hos vissa amerikanska kraftbolag. Dessa hack har varit utforskande och har inte orsakat skada, men vi vet att det är möjligt att göra det. Om det finns militära fientligheter mot USA bör vi förvänta oss att dessa attacker kommer att användas. Och USA kommer att använda dem mot våra motståndare, precis som vi använde cyberattacker för att fördröja kärnkraftsprogrammen i Iran och Nordkorea.
Vilka konsekvenser har allt detta för vårt nuvarande tillvägagångssätt för datorsäkerhet, som att utfärda patchar eller fixar, för mjukvarufel?
Patchning är ett sätt att återfå säkerheten. Vi producerar system som inte är särskilt bra, hittar sedan sårbarheter och korrigerar dem. Det fungerar utmärkt med din telefon eller dator, eftersom kostnaden för osäkerhet är relativt låg. Men kan vi göra det här med en bil? Är det okej att plötsligt säga att en bil är osäker, en hackare kan krascha den, men oroa dig inte för det kommer att finnas en patch nästa vecka? Kan vi göra det med en inbyggd pacemaker? Eftersom datorer nu påverkar världen på ett direkt, fysiskt sätt har vi inte råd att vänta på korrigeringar.
Men vi har redan mycket strikta säkerhetsstandarder för programvara som används i känsliga cyberfysiska domäner som flyg, eller hur?
Okej, men det är väldigt dyrt. Dessa standarder finns där eftersom det redan finns stark statlig reglering i denna och några andra branscher. I konsumentvaror har du inte den nivån av säkerhet och säkerhet, och det kommer att behöva ändras. Marknaden just nu belönar inte säker programvara alls här. Så länge du, som företag, inte vinner ytterligare marknadsandelar på grund av att du är säkrare, kommer du inte att lägga mycket tid på frågan
Så vad behöver vi göra för att göra Internet+-eran säkrare?
Det finns ingen industri som har förbättrat säkerheten eller säkerheten utan att regeringar tvingar den att göra det. Om och om igen snålar företag med säkerheten tills de tvingas ta det på allvar. Vi behöver regeringen att ta steget upp här med en kombination av saker som är inriktade på företag som utvecklar internetanslutna enheter. De inkluderar flexibla standarder, stela regler och tuffa ansvarslagar vars straff är tillräckligt stora för att allvarligt skada ett företags inkomster.
Men kommer inte saker som strikt ansvarslagar ha en kylande effekt på innovation?
Ja, de kommer att kyla ner innovation – men det är vad som behövs just nu! Poängen är att innovation i Internet+-världen kan döda dig. Vi kyler ner innovation inom saker som läkemedelsutveckling, flygplansdesign och kärnkraftverk eftersom kostnaden för att göra fel är för stor. Vi har passerat den punkt där vi behöver diskutera reglering kontra ingen reglering för relaterade saker; vi måste diskutera smart reglering kontra dum reglering.
Det finns en grundläggande spänning här, eller hur? Regeringar gillar också att utnyttja sårbarheter för spionage, brottsbekämpning och andra aktiviteter.
Regeringar är verkligen tjuvskyttar såväl som viltskötare. Jag tror att vi kommer att lösa den här långvariga spänningen mellan offensiv och försvar så småningom, men det kommer att bli en lång, hård kamp att nå dit.
Din bok fokuserar till stor del på USA. Tror du att det kommer att ta ledningen här?
Jag fokuserar på USA eftersom det är där de stora teknikföretagen finns och det är den regim jag känner bäst, men jag pratar också en del om Europa. Europeiska unionen är den reglerande supermakten på denna planet just nu. Jag tror att det kommer att avancera längre och snabbare än USA. I USA ser jag mer till staterna, och specifikt Massachusetts, New York och Kalifornien.
Jag tror också att det kommer att finnas internationella fördrag och normer som förbjuder en del av vår uppkopplade infrastruktur för nationalstatliga cyberattacker, åtminstone i fredstid. Vi behöver akut åtgärder på alla nivåer nu, från lokal till internationell. Min största rädsla är att det kommer att inträffa en cyberkatastrof och att regeringar kommer att skynda sig att genomföra åtgärder, utan en massa eftertanke, som inte kommer att lösa problemet.