要求物聯(lián)網設備經過安全認證是完全沒有道理的。

法規(guī)是笨拙的工具，最好留到最后使用。網絡安全法規(guī)并不靈活，往往在制定之日就已過時，并成為行業(yè)遵循的最低門檻。這扼殺了安全創(chuàng)新和優(yōu)秀實踐的應用。從好的方面來看，法規(guī)確實迫使那些忽視基本安全實踐的行業(yè)達到了一個共同的標準。但歷史表明，這些行業(yè)很少會超出監(jiān)管要求。我們每周在新聞中看到的所有數(shù)據泄露事件中，幾乎所有這些組織都遵守了法規(guī)要求，但他們正在丟失數(shù)十億條數(shù)據記錄。合規(guī)不等于安全！

然而，有些人在游說政府，鼓吹物聯(lián)網認證法規(guī)。我發(fā)現(xiàn)他們的想法是短視且不成熟的。

在某些情況下，法規(guī)是絕對必要的，但僅適用于具體的應用以實現(xiàn)特定目標。在某種程度上，保護在線兒童的隱私，保護敏感的醫(yī)療記錄，或要求對信用卡交易進行控制，這些都在一定程度上納入了法規(guī)范圍。

我是一名熱情的安全倡導者，有些人甚至說我是狂熱分子，但我不喜歡這種要求物聯(lián)網設備進行安全認證的想法。它太過寬泛，破壞了推動快速創(chuàng)新的經濟模式。

對于手機、平板電腦、個人計算機或服務器，我們不需要此類認證。那么，為什么有人會認為要求對低功耗物聯(lián)網設備進行認證是一個好策略？

認證會增加產品開發(fā)的時間和成本。物聯(lián)網設備的用途非常廣泛，而且往往比功能齊全的計算系統(tǒng)更便宜。此外，認證規(guī)模是另一個問題，因為物聯(lián)網設備的數(shù)量很快將超過500億臺。確定誰將對全新類別的設備進行認證以及將接受哪些標準的過程是一場噩夢。并且在如此大的規(guī)模上，執(zhí)行這些要求將是昂貴的，也是一場噩夢。官僚主義和成本會給市場增加巨大的摩擦，會讓許多公司和產品望而卻步。

毫無疑問，物聯(lián)網需要更大的安全性，但建議過于寬泛的法規(guī)為時過早，并且可能損害從智能設備中受益的每個人。還有許多其他選擇和解決方案，它們可以以更低的成本提供更好的保護，而不會災難性地阻礙創(chuàng)新、競爭力和健康的市場周期。建立用于設計和認證的標準、優(yōu)秀實踐是一個很好的開始。推動消費者認可并重視安全設計，可以為制造商相互競爭創(chuàng)造競爭優(yōu)勢。此外，開放的漏洞獎勵、公共安全研究以及滲透測試認證的共享將推動物聯(lián)網行業(yè)更好的流程。

如果這些做法沒有被采納或采用不夠充分，那么我們應該討論監(jiān)管問題。但是首先，我們必須尋求更優(yōu)化的途徑來與物聯(lián)網行業(yè)建立安全伙伴關系，以便生態(tài)系統(tǒng)能夠更好地適應不斷變化的威脅，支持創(chuàng)新，并值得所有人信賴。讓我們不要急于制定僵化的法規(guī)模式，因為它們僅應被視為最后的選擇。
責編AJX