又一个新旧年份交接的时间点,回望12个月前,没有人能料想到接下来的一年全人类会与新冠缠斗并迟迟笼罩在其阴霾之下。
过去的十个多月里,所有严肃的学术组织,负责的政府机构都不断地对民众做疫情预警和风险隔离,但在下一个圣诞假期临近之际,多国、地区的感染数据仍然未见好转。不少人因这场瘟疫的流行,对病毒的威胁及我们自身的脆弱又有了新的认识。但在人类的普遍历史记忆里,瘟疫从来都不陌生,各种流行疾病自人类有文字能力以来就已频繁地出现在各种记录里。然而无论时代如何进步,大多数时候应急系统在面对新的流行疾病和风险灾害时总是要慢上半拍,一次次历史记录和传染病学案例仍不足以消解人类面对类似风险时的散漫,我们也从未在应对风险的历史中吸取足够多的教训。
过去的2020年, 5G时代到来,科技飞速进步,疫情的波动并未实质性放缓众多数字化项目的进度。在新年来临之前,我们仍然能看到大量新的物联网项目的不断推进。然而作为一个从业者,戴着口罩奔波于各个物联网项目现场的同时,不禁隐隐地担心人类是否已经为下一个十年、二十年的数字化风险做好足够的准备。
几乎所有的研究机构,统计部门都在慷慨地预言一个新的物联网时代的到来,再疯狂的大脑力在面对新的通讯技术、计算能力飞速演进的未来时候都会显得想象力不足。每一个物联网项目开发者和IT管理者都在不厌其烦地将传感器遍布到所有角落,赋予一切物理实体数字身份,最终连接并编程。在我们乐此不疲构建物联网系统的同时,少有数字风险管理者们站出来对构建未来世界的人们发出足够明晰明确的预警。
Marc Goodman 在这个时候承担了吹哨人的角色,身为FBI的常驻未来学者、奇点大学政策及法律伦理专业主管、未来犯罪研究所会长及洛杉矶警局前任探员。Marc Goodman在 《Future Crimes》里以冷静专业的口吻提醒并审视了未来数字化犯罪的多种可能性和严重后果。视线转到现实中,以目前系统管理者、使用者们的心态和行事方法来看,如果我们就此走向下一个物联网时代,周边的世界和我们自己将脆弱不堪。审视未来世界的数字风险,需要先一步清楚地认识和预测新技术的演进发展,才可以为未来数字风险管理做好足够多的准备。
抛开枯燥的学术定义,,目前所看到并可以想象的物联网发展可能会经历四个阶段,作为信息安全从业者,我们有义务和必要提醒大家这四个阶段所可能面临的数字化风险——
阶段一:连接与传递
在第一个阶段的物联网项目,大部分仅仅实现监测和连接。众多系统管理者出于众多可行性考虑,在这一时间利用网络及传感器技术对物理设备实现连接和状态监测。通过统一的管理中心或云对设备进行数字化身份的赋予,同时实现资产可视同时降低运营成本。在这一阶段大部分物联网项目因时间紧张,安全手段准备不足或上下游产业链不成熟,并不能直接实现远程控制或调度。
数字风险:此阶段数字风险主要集中在云端或控制中心,同时物联网设备的数据传输也成为保障系统有效、真实运转的关键。在此阶段部分有远见的风险管理者会开始关注物联网设备自身的安全性。
阶段二:自主控制与交互
本阶段的物联网项目已不仅仅满足简单的连接与监测。越来越强的计算芯片开始植入到物联网设备中,通过传感器返回的数据和自身的数学判断模型,物联网设备本身已经可以分析现场状态并可将状态同步至云端或控制中心,部分拥有现场控制器件的物联网单元在经授权的情况下已经可以现场自主决策。项目管理者们将会大大受益连接带来的便利和成本降低带来的红利。同时,部分跨组织的物联网项目也会出现,协同生产和异构流水线协作成为可能。受制于网络连接受限、摩尔定律放缓及软件生态滞后,本阶段可能会存在较长时间,然而预期外的颠覆者将会大大缩短此阶段的时间。
数字风险:这个阶段对大部分熟悉了传统IT风险管理的运营者将带来一系列知识结构和经验挑战。IT风险管理的对象将从云端向组织外部蔓延,数字资产物理位置发生变化。物联网项目的开发者和IT风险管理者的角色可能重叠,部分传统行业组织将会成立新的数字风险管理分支以争取话语权,立法部门和标准化组织也会重新审视早已滞后的法规及标准化工作,物联网项目供应链的数字风险管理将提上日程。同时部分组织有极大可能性在此阶段爆发网络安全管理缺失导致的隐私及道德事件。
阶段三:边缘智能及服务
新的通讯技术并不能从根本上解决延迟给用户体验带来的糟糕影响,所有集中化管理的物联网项目都将遭受沉重打击并被视为过时,AI人才供不应求,芯片业界及软硬件供应链行业也将重新洗牌。大量有远见的开发者们在上一个阶段就已经开始准备在根本上提升物联网设备的计算水平和智能化程度,联网会成为每一个信息物理系统的必须能力。电池技术和产业取得突破性进展,物联网彻底进入无线时代。物联网设备/项目大多数情况下不需要连接到控制中心或云端,算法模型及数据更新方式多样,甚至不一定100%通过云端,IP技术也将满足海量物联网设备的接入,“万物互联”时代真正到来,物理世界与数字世界的边界越来越模糊。物联网设备可向一定物理范围内的对象提供服务,部分先进的物联网项目具备自编程能力并可协同校验算法有效性,此阶段后期的标志为脑机接口实现应用。
数字风险:对边缘设备的可信计算使用,全生命周期安全管理将成为数字风险管理者们的重点关注目标,数字风险评估过程也将考虑对人身安全的影响。使用者们普遍期望使用的系统可满足一定的数学安全等级,隐私管理将不再成为标准而是强制法规在全球范围内实施执行,保险公司会提供隐私保险或数字安全保险。“阿西莫夫三定律”将从科幻片走到学术论文及技术研究方向,甚至据此开始立法成或撰写标准。部分恐怖fen子可能会利用数字风险漏洞实施恐怖袭击,此阶段部分物联网项目有极大可能性造成人员伤亡及道德风险。
阶段四:泛在及群体智能
“第四次工业革命”开启,人类生产生活全面进入新时代,生产力极大提升和丰富。群体物联网设备之间可实现自编程及协作,多数情况下不需要接入云端即可完成运算决策及控制,物理世界与数字世界边界消失,此阶段发展到一定程度部分物联网设备可能通过图灵测试,先进国家会先行完成军队无人化改造。人类的数字生活无处不在,植入生物芯片成为时髦。律师们也早已熟悉网络安全法律和无处不在的智能合约,医疗机器人无处不在地被使用,人类寿命大大延长……
数字风险:所有物联网项目的客户都希望经得起形式化验证的安全等级,然而事与愿违,大量的代码缺陷及管理失策将伴随物联网项目的整个生命周期,数字安全团队将成为项目及机构的必须部门,数字风险管理也将成为组织风险管理的最重要任务之一。骇人听闻的网络安全事件频频见诸各式各样的新闻媒体,人类在长期科技发展过程中总结经验并定义了数字道德及法律边界,此阶段发展到一定程度计算机科学家们会重新审视和怀疑冯·诺依曼结构在安全性(security)方面的脆弱现实。
来源:freebuf.com 2021-01-26 15:13:57 by: HowardLeee
请登录后发表评论
注册