加利福尼亚州的隐私法意味着是时候为物联网增加安全性了

 
加利福尼亚州消费者隐私法案(CCPA)将于1月1日生效，它赋予加利福尼亚州居民权利，以了解数据公司收集的有关他们的信息并管理他们应如何保护消费者数据。这意味着物联网现在应该变得安全。
赛普拉斯半导体(Cypress Semiconductor)的行销(和IoT安全专家)高级总监Jack Ogawa与我谈了法律对制造物联网的软件，硬件，芯片和系统的每个人的意义，这使日常物品变得智能并连接。
赛普拉斯是物联网设备的主要芯片制造商，正在被英飞凌以大约100亿美元的价格收购。赛普拉斯(Cypress)可能会与其他所有科技公司一起遵守美国各地的加利福尼亚州法律，并帮助确保科技产品符合基本的安全措施。法律是一个警告，它意味着技术设计师必须在未来的软件和硬件设计中考虑安全性。
这是我们采访的剪辑稿。
VentureBeat：加利福尼亚州即将生效的法律，您是否担心这将如何影响物联网?对行业有何后果?
杰克·奥川(Jack Ogawa)：我们对这项法律生效感到兴奋。如果有完善的法律，不一定是因为这是完美的法律。我个人对法律是完美无误的。但这表明物联网需要什么。
如果您考虑市场的发展，那么我们现在处在一种技术将我们推向特定状态的状态。我们有连通性。 Wi-Fi已经到了无处不在的地步。互联网访问遍及全球。这是数十亿单位的愿景的转折，说一切都将联系在一起。
这很有趣，而且从技术角度来看，我们正在家里看到这种情况。我们看到这些连接的设备在我们家中无处不在。但是很快就会发生，这就是我所说的规范性时期，社会问题浮出水面，最大的问题是隐私。您现在进入这个规范期，每个人都说我们需要隐私，然后您必须对设备进行某种管理以创建一个环境，在此环境中您可以以经济高效的方式提供该功能。
我特别要说的是，与当今的隐私有关，没有标准。没有门槛。因此，这些设备的范围从零安全能力到频谱之间的所有事物。作为一个问题，作为消费者，您不知道得到什么，因为每种设备在隐私方面以不同的方式交付东西。但是，这个问题还涉及商业方面。在这种分散的状态下，事实证明每个人都有自己的答案是成本低廉的。
我们之所以对即将出台的立法表示赞赏，并不是因为它是一部完善的法律，而是因为它将启动一个规范性循环，其中“您如何支持隐私?”问题的答案将开始变得普遍和普遍。 。当这种情况发生时，它变得负担得起，并且消费者可以使用。
VentureBeat：法律将要求哪些规定?
小川：有基本的东西。您必须具有密码才能加入连接的网络。您可以使用默认密码-遇到了这种选择。您必须选择该选项。默认设置是强制您创建新密码。那很有意思。如果您查看大量数据，那么简单的事情就是很多攻击所利用的东西。
作为芯片制造商，我们认为还有一个重要的方面，那就是能够在您的硬件中安装秘密且不变的身份。这种立场建立在能够授予信任的概念的基础上，就像能够拥有唯一的用户密码一样。
VentureBeat：这仅仅是用户身份，还是他们称之为特定内容?
小川：是用户身份，是的，最终用户身份。
VentureBeat：是否也需要多因素身份验证?
小川：不，但是法律建议。要求输入唯一的用户名。有关其他法律的法律也有涉及-如果您完全熟悉网络，它也会尝试涵盖硬件。一个方面是用户身份验证，然后法律也试图描述如何对硬件进行身份验证。
那是另一个经常被遗忘的东西。有很多精力集中在对您进行身份验证上，但是实际上有很大一部分攻击会欺骗硬件以进入您的网络。欺骗硬件时，您可以在其进入网络时采用其权限。就隐私而言，保护硬件与唯一地标识您一个人一样重要。
从高层次上讲，这是法律上最大的事情。更好地识别一个人的要求，然后是保护数据的要求。从根本上讲，这取决于能够加密数据。那么第三维将是能够保护设备本身。
VentureBeat：您追踪了多长时间了?该行业是否需要考虑所有这些公共历史?
小川：特别是SB327，我不知道公众评论是什么，它如何适应的-我没有背景知识。它早于我一直在跟踪的某些事物。
VentureBeat：如果加利福尼亚有要求，几乎每个人都必须遵守吗?
小川：那是论文。加利福尼亚州立法机关已决定在此方面发挥领导作用。我读过的比喻是汽车尾气。国家觉得在此方面担任领导职务很重要。我们开始吸引客户询问有关此的信息。
VentureBeat：当我想到物联网的安全性时，让我想起的是我曾经参加过Black Hat会议。他们总是谈论这些将设计新产品的非技术公司和非技术行业，但是其中没有任何安全性-尤其是起初，因为从未打算将其连接在一起。然后您有了物联网，它可以连接以前从未连接过的东西。他们主要是出去-好吧，让我们看看人们是否想使用这种类型的东西，因此让我们将连接性融入日常事物中，看看会发生什么。
还有另一个趋势，那就是CPU的电源和电池寿命，而且限制通常非常严格，以至于您没有内置加密或安全技术的能力。引入这些东西的模式就是这样。首先，您使其未连接。然后，您将其连接。然后，一旦具有足够的处理能力和电池寿命，就必须考虑安全性。但是您从一开始就没有这样做。在我看来，这就是物联网发展的方式，就像几乎所有其他联网产品一样。
小川：您说得对。这就是我们一直走的轨迹。如果您愿意的话，我们的口头禅，也是我们为该法规鼓掌的原因之一，是它将迫使物联网设备在设计上是安全的。为了正确地做到这一点-并且在经济上做到这一点同样重要-在设计阶段采用安全性至关重要。
我认为，这就是业界对此的回应。它的演变将是-首先，我无法连接。现在，我可以通过连通性进入市场，但是没人问我有关安全性的问题。好的，现在有关于安全性的法规，所以我必须遵守。现在，实现合规性的最经济有效的方法是什么?传统上，这将释放工程师。如果必须重新开始，如何合并安全性?
VentureBeat：我确实看到其他公司对此进行了更多讨论。例如，这是Arm TechCon会议上的一个重要话题。他们为提高安全性在行业范围内做了很多尝试。感觉就像我们处在一个人们不再在乎处理能力的阶段。他们关心隐私和安全性，并使其变得更好。这是我们现在所处的新阶段吗?这对您满意吗?
小川：这是一个有趣的问题。对于整个物联网行业而言，这是一个分散的市场。总的来说，您可以索取数百万或数十亿个设备的发货，但是这些分散在智能锁，恒温器，健身追踪器中，您可以说是这样。这些人面临的挑战是确保他们的工作能够吸引他们的最终选民。
当您谈论处理和功能时，这些是影响每个人的几个横向功能。我认为安全将成为影响每个人的另一种横向因素。一个给定的智能锁家伙是否要运行一百万个，这个问题与基本问题是正交的，他是否必须遵守安全和隐私法?因为他有。顺便说一下，恒温器的人也可以，健身追踪器的人也可以。但这是定义整个细分受众群的横向主题之一。
VentureBeat：如果公司还没有为加利福尼亚法律做好准备，我想他们必须采取行动。
小川：这就是其中之一。您对技术的了解已经足够久了。立法者对此采取了措施，但是在如何执行以及供应商如何达到合规性方面存在很多歧义。老实说，对特定法律是否会有任何法律或民事影响，值得怀疑。但是就像我说的那样，许多客户看着它说：“这将要发生。”他们不想成为因法律或其他原因而承担责任的人，因为他们不支持法律。看到供应商对此有何反应会很有趣，但我确实希望能有所反应。我认为人们不会忽略它。
VentureBeat：关于连接一切的更广泛的标准，这似乎在一起吗?我知道有些东西是三星的SmartThings。我不知道一切是否可以互换，或者还有很长的路要走。
小川：从最终客户的角度来看，还有一段路要走。连接性倾向于遵循用例。从底层协议和标准化的角度来看，事情仍然保持原样。 Wi-Fi已经成为一种强大且无处不在的协议，我们相信它将成为物联网方面的赢家。但这并不意味着所有其他协议都会突然消失。还有其他用例，例如蓝牙网格，将继续。
VentureBeat：关于成本等问题，您是否受到那些说安全成本过高的人的反对，还是应该由其他人来支付安全费用?谈话进行得如何?
小川：这是一个有趣的问题。如果您看一下硬件成本，我将始终以洗衣机为例，因为这很容易理解。如果您查看洗衣机的成本，则尝试在其中添加Wi-Fi，这会抵消洗衣机的利润率。人们不会再为Wi-Fi支付100美元，这不在更广泛的人群中了。有一个真正的问题。
这个问题有两个方面。一种是，一般而言，物联网设备制造商必须回答“为什么”的问题?像您早先提到的那样，更多的处理可以回答很多问题，并且能够变得更加聪明。这样的一个例子可能是机器学习，以防止洗衣机内部的电动机受到维护。机器中有一些智能设备可以检测到一些奇怪的振动，因此在整个设备死亡之前，您应该注意这一点。我们可以看到这种情况。
在安全方面，我认为这不仅仅是一个-物联网设备制造商必须解决的拥有成本问题。就像当今大多数公司的IT部门可以处理所有网络问题一样，IoT设备也有类似的要求，需要IT管理员和开发人员来管理所有数百万台设备。与支付网络成本相比，安全性属于效率提升，这意味着，如果您找到一种标准的安全性部署方法，则与为每种产品提供不同版本的安全性相比，它最终可以为您节省金钱。
这类似于IT挑战。大多数公司不允许员工混搭PC，因为这会使IT人员疯狂，并增加成本。这些公司中的大多数人意识到，当他们通过设计建立安全性时，网络管理效率将获得巨大收益。