无法避免的新世界
智能设备发展速度日新月异,当智能手机已经基本普及之后,可穿戴智能设备则成为了厂商们的宠儿,成为电子产品消费中的一个新热点。中国可穿戴智能设备的发展从2010年起步,近两年开始得到发展,2014年市场规模达到66.2亿元, 2015年中国可穿戴设备市场达到112.7亿元,同比增长了70.2%。
从苹果手表到小米手环,可穿戴智能设备开始逐渐被大众开始接受。2016年,外媒Wareable总结了一些最受欢迎的新概念可穿戴设备,小编精选了其中成功集资的设备,先一起来了解一下它们的独特魅力:
Kokoon是世界上第一款睡眠脑电图监测耳机,通过持续监测脑电图,来播放最适合用户睡眠的音乐。通过移动应用程序,用户还可以看到睡眠时的数据,并对耳机进行音效等细节设置。值得一提的是,耳机的音频部分与安桥合作,拥有不错的音质表现。
MetaWear提出的新概念是:任何传统设备都可以变成可穿戴设备,事实也证明,这种低成本的形式也受到了用户的欢迎。MetaWear是一个类似于树莓派的低功耗微型电脑,内置加速度、陀螺仪、气压、温度等多种传感器,用户可以将其安置在任何设备上,如滑板、背包或是腕带,来记录大量信息。
如果你感觉Apple Watch防护性能不足以满足需求,不妨看看Swimmo,一款拥有100米防水性能的运动手表。它内置了先进的传感器,能够追踪游泳时间、距离、心率以及消耗的热量,同时具有采用OLED屏幕,可实现5-7天的电池寿命。
HiSmartbag是一款国内公司开发的智能包包,目前成功在国外众筹网站成功集资,令人刮目相看。HiSmart bag的设计亮点在于肩带上集成的操作键,可通过蓝牙与手机连接,拥有控制音乐播放、接听电话、寻找手机甚至是充当快门。
Aivvy Q是一款可把你带到音乐星空中的优质智能耳机。它可以根据你的喜好来播放CD音质的音乐,单次充电下,不联网时可连续播放40小时。当听音乐时,Aivvy Q可以将你从束缚、续航时间短、网络不稳定的情况中解放出来,就像你的一位指尖上的私人DJ。
ImpressionPi 是一款提供三维手势交互的 VR+AR 眼镜,拥有三维手势交互和无限制位移检测功能,用最自然的方式和虚拟世界互动。此外,三维现实增强技术将真实场景和虚拟场景叠加,让 VR 体验更上升了一个境界。
AmbyGear是一款专门针对孩子设计的智能手表,它本身内置GPS芯片,让家长可以随时关注孩子的位置。另外,它还提供了一种“完成事件奖励”的有趣功能,孩子可以通过在正确时间到达正确地点的形式获得积分,这是一种更有效的提醒机制。家长可以与孩子们约定积分奖励,来培养孩子的良好习惯,这是它受欢迎的主要原因。
Tracky智能运动服内置了一系列增强传感器,能够记录并分析身体的拉伸动作、心率、呼吸、温度及燃烧热量,并且能够实时在应用程序中反应出来。更棒的是,Tracky能够识别186种锻炼形式、126种瑜伽动作等等,非常先进。
研究报告显示,24-45岁人群中72%的人患有肩膀肌肉疼痛、11%患有颈椎病,对健康拥有较大影响,而Fineck智能项圈则有望改善这一问题。它会追踪和记录用户颈部状态,并提供有效的帮助和建议,帮助你缓解颈肩部的紧张,对于久坐的上班族来说是很有意义的。
Pip是一款新型的宠物追踪器,除了内置GPS及蜂窝数据连接,还可通过位置信息巧妙地自动关闭GPS,比如宠物就在家中。这意味着,它可以实现长达3个月的电池寿命,保证了追踪器可以在关键时刻发挥作用。另外,它还内置了运动传感器,可以监测宠物运动,让你了解宠物的活动状态,以判断其是否生病。
新世界为犯罪者打开了新领域
对于流行和时尚的追求使得可穿戴设备的市场不断扩展,当然,大家也清楚的知道,在互联网世界中没有什么是安全的,当然,连接互联网的设备也不例外。一些专家认为,与CISO、CIO以及IT管理人员需要担心的其他安全和隐私风险相比,企业使用活动跟踪器和其他可穿戴设备带来的风险要相对较低。
也就是说,与任何联网设备一样,可穿戴设备也存在潜在的安全风险。例如,最近的研究表明,攻击者可以通过声波攻击,利用价值5美元的扬声器,欺骗控制 Fitbit手环的加速度传感器,让实际上没有运动过一步的 Fitbit手环,形成虚假计数的假象。
以下文章中,小编为大家总结了你应该了解的关于可穿戴设备的几大安全和隐私风险,以及实现风险最小化的最佳实践方法:
1. 对可穿戴安全的担忧是合理的
公司IT人员已经面临如此多的安全问题,他们还需要担心可穿戴产品的安全风险吗?
ForresterResearch的首席分析师杰夫·波拉德(Jeff Pollard)表示,答案是肯定的!例如,一些健身跟踪器会时刻向云端提供用户的地理位置等数据,分享员工和公司的具体位置。同时,他还解释称,“企业员工和消费者正在大规模的利用和依赖数据集成和分析技术。”
就像任何新技术的出现一样,总是伴随着安全和隐私问题。可穿戴设备很可能使这个问题更加复杂。根据普华永道的调查显示,82%的受访者担心可穿戴设备会侵犯到他们的隐私;而86%的人认为可穿戴设备使他们更容易受到数据安全漏洞的威胁。如果你丢失了智能手机或平板电脑,信息可以很容易地被抹去。问题是可穿戴设备是否可以提供同样的功能?
可穿戴设备可以挖掘到一些最敏感的信息,这使其很容易成为黑客的理想目标。连接到工作场所之外的不安全WiFi网络,可以很容易让员工的可穿戴设备信息遭到窃取。当然,可穿戴设备所带有的数据共享能力,也会使敏感的商业信息(如企业财务数据、知识产权等)落入他人之手。随着越来越多的员工在工作场所使用自己的个人可穿戴设备,保持信息安全将成为一项艰巨的任务。
2. 大部分可穿戴设备正在泄漏你的隐私
安全软件开发商Sophos的首席研究科学家Chet Wisniewski说,通过全面地分析我们可以发现,与可穿戴产品相关的安全和隐私风险“非常低,但是随着设备类型的增多,其风险也开始不断升级”。
Wisniewski表示,像计步器和心率监测器这种纯生物特征活动跟踪设备可能会通过蓝牙泄漏信息,但是想要获取这些信息却相当困难,而且这些信息对攻击者而言意义不如金融数据等有价值。
对于智能手表这种设备而言,风险可能要更大些,智能手表如果能够在几米的范围内找到配对的智能手机就可以窃取其电子邮件和联系人等信息。这种风险可能会随着具有LTE连接的新型智能手表的增加而增加,因为它们可以在远离配对设备的范围内进行操作。
飞利浦医疗保健公司(主要提供临床医疗保健系统和咨询)的产品设备安全全球主管Michael McNeil补充道,“通常来说,主要通过近距离协议操作的个人连接设备(如蓝牙低能耗)以及可携式移动设备(如智能电话)不太可能直接被访问滥用。相反,通过以太网或wifi主动连接到互联网上的物联网设备被访问滥用的可能性会更大些。”
去年,非营利组织Open Effect和多伦多大学的一项研究发现,市面上流行的活动追踪设备往往会泄露个人信息,它们发出的蓝牙信息容易被黑客跟踪,即使关闭蓝牙也无法解决问题。目前被发现存在这些问题的设备包括Basis,Fitbit,Garmin,Jawbone,Mio,Withings和小米等。
现在,人们习惯使用健康追踪设备来记录自己的活动数据。但是,这些设备在使用的过程中也会收集用户的个人信息,比如姓名、年龄、性别等,而这些信息都有可能在设备利用WiFi传输数据过程中泄露。在Open Effect的合作研究中,研究人员对多个较为突出的设备进行了测试。
研究显示,除了Apple Watch外,其余活动追踪设备都有着一个固定不变的标识,而这个标识会让第三方组织在任意时刻任意位置跟踪设备。研究还发现,即使关闭与设备配对的手机蓝牙,这些标识符仍有可能继续泄露信息。
除此之外,研究报告显示,这些健康追踪设备生成的数据有可能被篡改。由于这些设备产生的数据多用于保险和法律目的,那么存在被篡改的可能性意味着,这些数据变得不太可靠。
3. 数据匿名很重要
那些收集了却没有对健康相关的数据进行匿名化处理的公司可能已经违反了HIPAA法案中有关电子信息形式下的健康信息保护(ePHI)的相关规定。
HIPAA,全称Health InsurancePortability and Accountability Act. 是1996年美国发布的关于健康保险的携带和责任的法案。其目标是确保健康信息的安全性和隐私性,其主要内容包括隐私条例和安全条例。
隐私条例保护所有由适用实体保存的可识别个体的受保护健康信息(PHI)。根据美国卫生和福利部的规定,PHI包括以下数据信息:与个人以往、目前或将来的身体(或精神)健康或状况有关的数据;个人接受健康保健服务的相关数据;个人以往、目前或将来接受健康保健服务的费用支付相关的数据。
隐私条例的基本规定是企业只有在隐私条例允许范围内或者获得数据主体的个人书面同意之后才能够披露PHI。
安全条例包含了电子受保护健康信息(ePHI)的安全保护,规定了企业在其所有需要处理ePHI数据的系统里必须具有的策略、流程和报告机制。HIPAA还规定了用于保护ePHI的保密性、完整性和可获得性的具体实施规定。这些规定包含管理防护、物理防护、技术防护、组织要求、企业策略和流程。
数据风险管理和身份保护公司CyberScout的咨询总监Eric Hodge表示,“收集有关健康数据的企业应该像医院一样遵守HIPAA的各项规定。如果没有达到HIPAA的要求同样将面临罚款处理,金额在15万—600万美元之间。以防万一,请务必将个人健康信息与健身信息分离来开,此外,对数据进行匿名化处理也是至关重要的。”
4. 将可穿戴设备分隔在不同的网络上
Manzuik说,IT管理人员对待可穿戴设备的态度应该跟其网络中的其他设备一样,如果可能的话,可以考虑将物联网设备与自身网络隔离开来,不要将其直接连接到互联网中。
身份认证平台Auth0的首席技术官兼联合创始人Matias Woloski补充道,由于一些物联网设备的安全口碑较差,企业应该将这些设备隔离在无法访问任何内部资源的专用网络中,例如专供客户使用的Wi-Fi网络等。
5. 尽职调查
IoT公司是否符合HIPAA标准?它如何管理凭据和身份?如果设备丢失或被盗,是否有简单的撤销策略?这些都是企业CISO应该咨询可穿戴/群体健康平台提供商的问题。
Woloski称,企业的健身和健康项目通常与第三方软件平台相关联,这些第三方企业通常会要求权限来访问跟踪器或其他设备生成的数据。CISO们应该找到可穿戴服务提供商,使用授权协议(如OAuth 2)来公开他们的API,以便用户可以随时随地控制和撤销访问。
6. 教育用户
Pollard表示,教育用户了解可穿戴设备会收集他们哪些信息,从何处收集以及他们收集这些数据的用途是非常有必要的。虽然我分享给可穿戴应用程序的数据看起来还停留在我的智能手机上,但是实际上,这些数据可能已经被分享到云上,并且可以与许多第三方供应商共享。不了解情况的用户可能永远都发现不了这一现象。
7. 限制对员工健身和健康数据的访问权
为了运行一个成功的健康项目或健身挑战,企业需要参与员工提供自己的数据,来了解他们已经进展了多少。但是McDonough建议,企业应该将访问健康项目数据的访问权赋予需要运行该项目的人员,不需要赋予过多的人员访问权来增大管理的难度。
8. 查看连接到企业网络的所有内容
Anand表示,了解连接到企业网络中的所有内容是至关重要的,毕竟没有清楚地认知谈何正确地保护,因此,对所有可能连接到企业网络中的可穿戴设备进行配置和设置策略的过程是非常重要的第一步。
我们应该树立这样一个观念:可穿戴设备与其他计算机设备一样存在潜在威胁!我们应该清楚地了解企业网络中存在的所有可穿戴设备,利用移动设备管理方案来了解哪些员工在其手机上使用了相关的移动应用程序,并确保这些设备和配套软件在网络中进行的通信进行了正确的加密。
9. 多因素身份验证必不可少
CISO们应该要求企业员工在其智能手机上使用多因素身份验证,进行额外的防护。此外,还可以使用行为分析工具来识别IT访问和使用过程中存在的异常行为。在发现健康项目中的参与员工的智能手机存在异常行为的第一时间,IT管理人员就可以立即采取行动来减轻任何潜在的损害。
10. 短期内,为隐私和安全风险做好准备
Pollard指出,合理有效的物联网反恶意软件解决方案的开发还有很长的路要走,因为可穿戴设备通常使用各种第三方组件、操作系统以及软件,没有像MicrosoftWindows这样标准的主要操作系统来进行规范。
所以,短期内这条路一定是布满荆棘的异常难行。长期来看,安全状况将会有所改善,但是可能还需要几个高能的漏洞或黑客来添把火,助力我们早日登陆安全彼岸。
