看看拜登政府最近更新的国家网络安全战略文件,似乎反映了苹果已经采用的一些打击网络犯罪的方法。
以隐私为例。 该提案表明,隐私保护将不再是大型科技公司可以反对的问题——公司将被要求优先考虑隐私。 如果你经营一家不需要大规模收集和分析用户信息的企业,那很好,这一直是 Apple 的做法。 该公司认为,保持信息私密性的最佳方式是根本不收集它。
虽然这种方法并不全面——你不需要用力攻击 Apple 的激活服务器来识别至少一些关于你和你的设备的信息在某种程度上是可见的——但你的大部分个人信息不是。 Apple 最近决定将其提供的保护扩展到 iCloud,这似乎也反映了 NCS 文件中做出的一些承诺。
[通过 Computerworld 的时事通讯了解最新的 IT 思想领导力、见解、操作方法和分析。 ]
正如 App Store 应用程序需要披露隐私政策并承认他们对您的信息所做的一样,新的安全策略是要求软件制造商和服务提供商对其产品的安全性承担更多责任。
“我们必须重新平衡捍卫网络空间的责任,将网络安全的负担从个人、小企业和地方政府转移到最有能力和最有能力为我们所有人降低风险的组织身上,”怀特解释说 众议院简报。
但没有人是完美的
Apple 在创建安全平台方面的声誉一直表明,构建和维护此类平台是可能的。 虽然安全保护从来都不是完美的,但该公司已经设法做到了这一点,这意味着任何公司都有可能效仿。
这(以及更多)实际上是新提案所要求的。 正如您所料,这会引发一些行业参与者的一些反对,因为这意味着如果他们的软件或服务被发现易受攻击,他们将被追究责任。
例如,信息技术产业委员会似乎认为这些安排威胁到开发商与客户之间签订的私人合同。
与此同时,正如美国有线电视新闻网报道的那样,该提案反映了美国政府认为市场力量未能确保国家安全。 轻度监管不应等同于自满。 还有一种观点认为,疏忽并不总是安全保护失败的原因。
专注于 Apple 的 MDM 和安全公司 Jamf 的首席信息安全官 Aaron Kiemele 说:“所有软件在某种程度上都容易受到未来的利用。 如果出现新问题并造成广泛影响,这并不意味着软件供应商有疏忽。 您可以做所有正确的事情,但仍然会受到安全事件的影响。
他说:“话虽这么说,但仍有许多多年未修复的旧漏洞以及真正没有优先考虑安全和隐私的公司。” 公司)并推动改革而不使其成为对无法合理预测的安全环境的惩罚性惩罚将是棘手的。
Kiemele 说:“对我来说,最有趣的一点仍然是,这听起来像是一种善意的努力,旨在对目前没有采取正确措施保护其数据和客户的软件公司施加适当的责任。”
“很高兴能够更充分地承担责任,因为我们将因我们的良好做法而获得奖励,而业内其他人将被要求做最低限度的工作来保护数字生态系统。”
Jamf 去年推出了一个基金,用于投资与 Apple 相关的安全初创企业。
Apple 保护其平台的坚定方法可能使其想要发表类似的声明。
加强问责制
然后是关于连接设备的考虑。 回顾 Apple 智能家居解决方案 HomeKit 的历史,您会发现它的采用从未像预期的那样迅速。 Apple 历史观察者会知道,造成这种情况的原因之一是因为 Apple 坚持要求制造商满足安全标准并使用自己的芯片。 其他人不需要同样严格的保护,而且我们已经看到大量证据表明它是如何被滥用的。 就连 Apple 在将 Siri 设置为窥探时也滥用了这种信任。
但当涉及到国家安全时,这些漏洞不仅仅局限于监听你所说内容的家庭扬声器系统。 我们知道工业 4.0 正在全球范围内推广,即使互联医疗系统的部署正在加速。
所有这些连接的设备都依赖于软件和服务,让这些领域的供应商对这些系统负起更多责任的举动似乎是合乎逻辑的。
自臭名昭著的针对 Target 的 HVAC 攻击以来,我们就知道即使是不太重要的连接系统也可能成为攻击目标。 虽然没有人应该购买任何无法保护或更新的连接设备,但任何制造商也不应该销售默认安装密码较弱的产品,例如 0,0,0,0。
让供应商负责强化这些系统是有道理的,因为我们已经看到太多的失败事件。
白宫的安全提案还着眼于未来的威胁,例如量子计算对传统边界和端点安全保护的影响。 你可能会争辩说,Apple 在这方面有一些答案,比如生物识别 ID 及其对无密码万能钥匙的支持,但这条路还有很长的路要走,而且我们多年来一直需要超越密码。
但至少这些提案应该意味着参与该领域的每个人都将更有动力为保护他们的产品而努力,而不是等待其他人去做。
我们需要摧毁设计师不安全市场
这是这些提案中的一大积极因素。 从本质上讲,告诉软件和服务提供商对安全承担更多责任可能会促使大多数人变得更强硬。 在此过程中会出现明显的不一致——例如,监管驱动是否会强制每个智能手机供应商支持每个与安全平台和服务需求兼容的应用程序商店?
如果安全和隐私如此重要,那么苹果为什么要被迫降低其提供的产品和服务的安全和隐私呢?
国家网络安全战略并没有对这个复杂的不断变化的问题网络提供所有答案,但它确实提供了一个更强有力的起点来向前迈进。 社交媒体公司终于可以期待大量的审查。
它让人想起史蒂夫·乔布斯 (Steve Jobs) 的名言,这可能与此相关:
“当你第一次开始尝试解决问题时,你想到的第一个解决方案非常复杂,大多数人都止步于此。 但如果你继续前进并接受问题并剥掉更多层洋葱,你通常可以得出一些非常优雅和简单的解决方案。 大多数人不会花时间或精力去实现目标。”
虽然还有很多工作要做,但这些提案确实让科技公司加快努力使安全变得简单的紧迫性,并且肯定表明自由放任的科技公司可以将不安全作为服务出售的日子已经屈指可数了。
这真是一件好事。
