搜索歷史

熱搜詞

原創(chuàng)

活動

創(chuàng)新2.0

I T

產(chǎn)業(yè)

當(dāng)前位置：首頁 >產(chǎn)經(jīng)?城市 > 產(chǎn)經(jīng) > 物聯(lián)網(wǎng) > 正文

個人健康數(shù)據(jù)：物聯(lián)網(wǎng)安全的“小煩惱”

來源：ZDNET至頂網(wǎng) ：佚名 2015-06-12 11:27:20

美國聯(lián)邦貿(mào)易委員會（FTC）試圖規(guī)范物聯(lián)網(wǎng)的安全性，對于處理個人健康信息（PHI）的企業(yè)而言，這意味著什么呢？本文中專家Mike Chapple談及了這個問題。

現(xiàn)在越來越多的事物開始連接到互聯(lián)網(wǎng)，甚至比地球上的人類數(shù)量還多，而且這個數(shù)字還在迅速增長：根據(jù)Strategy Analytics表示，在五年內(nèi)，每個人將擁有四臺設(shè)備?；ヂ?lián)網(wǎng)曾經(jīng)只包括計算機(jī)、智能手機(jī)和平板電腦，而現(xiàn)在還包括聯(lián)網(wǎng)血壓計、煙霧探測器洗衣機(jī)。專家預(yù)測這個趨勢還會繼續(xù)發(fā)展，在未來五年，設(shè)備的數(shù)量將會翻一番。這將是巨量的設(shè)備，將會產(chǎn)生海量的數(shù)據(jù)。

所有這些數(shù)據(jù)將會去哪里呢?個人和服務(wù)提供商應(yīng)該如何保護(hù)物聯(lián)網(wǎng)(IoT)所產(chǎn)生的敏感信息的機(jī)密性、完整性和可用性呢?如果這些數(shù)據(jù)包括個人健康信息呢?美國聯(lián)邦貿(mào)易委員會(FTC)的人員在研討會解決了這些問題，并在名為《物聯(lián)網(wǎng)：互聯(lián)世界中的隱私性和安全性》的報告中公布了其調(diào)查結(jié)果。

什么是物聯(lián)網(wǎng)?

雖然IoT是相當(dāng)新的流行語，但其實它反映了過去十年出現(xiàn)的趨勢?，F(xiàn)在各種日常物品開始連接到互聯(lián)網(wǎng)，定期發(fā)送和接收數(shù)據(jù)。企業(yè)開始提供Wi-Fi功能的慢燉鍋、自動噴水滅水系統(tǒng)和燈泡。IoT正在改變世界，實現(xiàn)日常工作的自動化，并大規(guī)模進(jìn)行數(shù)據(jù)分析。

在IoT的發(fā)展中，最有前景的領(lǐng)域之一是醫(yī)療保健領(lǐng)域?，F(xiàn)在很多人在使用個人健身追蹤器來收集身體活動的信息。血壓計、血糖儀和量表等會收集生命體征數(shù)據(jù)，并上傳到云服務(wù)器進(jìn)行追蹤和分析。這些新設(shè)備和服務(wù)可帶來醫(yī)療優(yōu)勢，但同時也帶來對IoT安全和用戶隱私的問題。

IoT世界的安全和隱私風(fēng)險

當(dāng)我們使用IoT存儲、處理和傳輸健康信息時，我們面臨怎樣的風(fēng)險?FTC在研討會詳細(xì)探討了這個問題，并確定了安全和隱私專業(yè)人員需要關(guān)注的三大類風(fēng)險。這些風(fēng)險與傳統(tǒng)聯(lián)網(wǎng)設(shè)備面臨的風(fēng)險類似，但這些設(shè)備用于醫(yī)療和安全目的帶來了新的問題。

首先，IoT可能允許對個人信息的未經(jīng)授權(quán)訪問和濫用。

IoT設(shè)備、云服務(wù)或它們之間的通信渠道中的漏洞可能允許外部攻擊者訪問敏感數(shù)據(jù)。而在涉及醫(yī)療設(shè)備的情況中，個人健康信息可能會暴露給入侵者或讓全世界看到。

其次，IoT設(shè)備可能推動對其他系統(tǒng)的攻擊。

我們通常很難在非交互式設(shè)備安裝安全補(bǔ)丁，這可能讓它們易受攻擊。在攻擊者感染IoT設(shè)備后，他們可能會用它來入侵網(wǎng)絡(luò)，并對包含敏感信息的其他系統(tǒng)發(fā)動攻擊。

最后，在最糟糕的情況下，IoT設(shè)備可能會危及人身安全。

FTC研討會的與會者提到了聯(lián)網(wǎng)胰島素泵的例子。如果攻擊者獲得訪問權(quán)限，在理論上來看，他們可能修改發(fā)送給患者的胰島素量，導(dǎo)致患者受傷害或死亡。政府官員非常重視這個問題，并曾修改了被植入當(dāng)時副總統(tǒng)Dic Cheney的起搏器以防止外部攻擊。

這些風(fēng)險需要安全人員的關(guān)注以及采取必要的緩解。企業(yè)在向市場推出IoT設(shè)備和服務(wù)時，必須審慎評估其產(chǎn)品的風(fēng)險，并制定全面的安全和監(jiān)測計劃來其產(chǎn)品的保護(hù)機(jī)密性、完整性和可用性。

保護(hù)IoT領(lǐng)域的醫(yī)療數(shù)據(jù)

該FTC報告專注于物聯(lián)網(wǎng)的隱私性和安全性，其中承認(rèn)了IoT應(yīng)用的復(fù)雜性，并建議企業(yè)遵循最佳做法來保護(hù)健康信息。從安全的角度來看，企業(yè)在推出產(chǎn)品前應(yīng)執(zhí)行風(fēng)險評估，并測試安全措施。FTC還建議企業(yè)實現(xiàn)數(shù)據(jù)最小化，限制收集信息的數(shù)量，并在信息不再需要時刪除信息。另外，企業(yè)應(yīng)該在必要的時候向消費者提供通知，消費者也應(yīng)該有權(quán)利對數(shù)據(jù)收集做出選擇。該報告中最后且最有爭議的建議是，美國國會“應(yīng)制定強(qiáng)有力的靈活且技術(shù)中立的聯(lián)邦立法，以加強(qiáng) 其現(xiàn)有數(shù)據(jù)安全執(zhí)法手段，以及在發(fā)生數(shù)據(jù)泄露事故時向消費者提供通知”。

企業(yè)應(yīng)該如何應(yīng)對

該報告對你和你企業(yè)的影響是什么?并不是很多。該報告由FTC人員所編寫，但并不是管制行動。它只是對IoT的安全性提出了一些令人深思的問題，并為保護(hù)數(shù)據(jù)提供了正規(guī)指導(dǎo)。事實上，F(xiàn)TC專員Joshua D. Wright公開對該報告提出了異議，他稱，他覺得對于這個廣泛的話題，該報告的研究工作不足。Wright稱：“在為與物聯(lián)網(wǎng)相關(guān)的廣泛隱私法提供行業(yè) 最佳做法和建議之前，委員會及其工作人員至少應(yīng)該進(jìn)行必要的工作，以確定部署這種最佳做法和建議的潛在成本和優(yōu)勢。”

保護(hù)物聯(lián)網(wǎng)的安全性

在政府和行業(yè)確定IoT安全的最佳做法的共同標(biāo)準(zhǔn)之前，我們還有很長的路要走。在此期間，對于處理醫(yī)療相關(guān)的IoT數(shù)據(jù)的企業(yè)而言，應(yīng)該時刻保持警惕，并圍繞這些數(shù)據(jù)構(gòu)建可靠的安全程序。我們?yōu)楸Ｗo(hù)醫(yī)療數(shù)據(jù)使用多年的標(biāo)準(zhǔn)也可適用于通過聯(lián)網(wǎng)設(shè)備收集的數(shù)據(jù)。企業(yè)應(yīng)利用常識，并保持?jǐn)?shù)據(jù)安全。

編輯：張路麒

關(guān)鍵字：數(shù)據(jù) 個人物聯(lián)網(wǎng)