关于物联网安全 NXP、ST、英飞凌等大佬怎么说？

2016年度慕尼黑电子展CEO论坛邀请了多家欧洲半导体大厂的执行长，共同讨论如何确保物联网安全性的话题…

　　每年德国慕尼黑电子展（Electronica）都会举行的CEO论坛，从两年前就持续谈同一个主题：物联网（IoT），但是今年终于尝试阐明如何确保其安全性。

　　论坛主持人Kilian Reichert在开场时指出，不久前曾发生一场全球性的分布式阻断服务（distributed denial of service，DDOS）攻击，让Paypal与Facebook等网络巨擘的服务都因此瘫痪，而既然物联网是未来汽车与基础建设与其他车辆连结的关键核心，就有潜在的危险：「我们是否连网的程度越高，面临的风险也越高？」

　 对此恩智浦半导体（NXP Semiconductor）执行长指出，自动驾驶并非会取代一切否则全无（all-or-nothing）的技术；在全自动驾驶成为主流之前还有很长一段时间，而且最终不同层级的自动驾驶技术可望让驾驶更安全：「有九成的交通事故是来自于人为疏失，自动驾驶技术是关于让驾驶更轻松且安全的应用与解决方案。」

　　2016年度慕尼黑电子展CEO论坛参与者，从左至右分别为G&D董事会成员/行动安全部门主管Stefan Auerbach、ST执行长Carlo BozotTI、NXP执行长Rick Clemmer 、德勒斯登工业大学教授Frank Fitzek、Infineon执行长Reinhard Ploss，以及主持人Kilian Reichert

　　（来源：EE TImes Europe编辑Peter Clarke）

　　德国智能卡/安全技术供货商捷德（Giesecke and Devrient，G&D）的行动安全部门主管Stefan Auerbach则强调「端对端（end-to-end）安全性」的重要，并表达他对于硬件与软件协同合作，以及需要可扩展解决方案的信念；但这些显然是说比做要容易得多。

　　这场CEO论坛的非产业界代表，德国德勒斯登工业大学（Technical University Dresden）教授Frank Fitzek则指出，5G通讯将会带来例如软件定义网络（SDN）、网络功能虚拟化（NFV）等功能，有助于快速辨别安全风险并使其失效：「通讯必须要变成网状网络（mesh），并非中央化的蜂巢式系统，这也是一个机会。」

　　对于主持人「谁是敌人？」的提问，Fitzek表示，一开始威胁网络安全的是（扮演黑客的）学生，现在则各种人都有，甚至政府机构也可能是元凶；但别忘了，技术本身也可能出错：「空中巴士（Airbus）一次会用五台计算机在不同的平台上执行相同运算来纠错；是时候该投资全球网络的安全，这有点像是警察的工作。」

　　意法半导体（STMicroelectronics，ST）执行长Carlo BozotTI的意见则是，安全性必须要着墨于所有的抽象层，包括芯片、电路板、装置与整个网络。而G&D的Auerback强调，SIM卡产业一年制造50亿张SIM卡，而且因为这些卡都是坚守标准，它们非常安全。

　　在被问到4G与5G之间有什么不同时，Fitzek开玩笑说：「差一个G；」但很快补充表示，每一代的通讯技术都是为了解决人与人之间的沟通：「5G会有数十亿个在延迟、性能与安全方面拥有不同KPI （key performance indicator，关键绩效指标）的连结。」

　　他表示，因特网之父Paul Baran在1964年就提出过一个安全性解决方案，有很多种成就安全性的途径，但此刻并没有被那些网络安全专家们实现，主要是因为他们没有足够的能力：「我们只要想办法提升参与黑客活动所需成本。」

　　还有一个在这场CEO论坛被提出的话题是，安全性需要以全面性的端对端方式来解决，但是并没有单一家公司或是几家公司在这个问题上有足够的份量能指定一个解决方案；NXP的Clemmer观察指出，汽车领域的安全性还未完备，但因为汽车已经被黑客攻击，迫使汽车厂商加紧脚步。

　　英飞凌（Infineon）执行长Reinhard Ploss观察到，消费者并没有或是还没对IT安全具备敏感度──这引发了一个想法，某种标签或是安全认证可能是一种提升安全保障意识的方法；但这应该是由产业界还是由各国政府来推动？

　　Clemmer不认为责任在任何一方，但认为品牌业者可以激发信心，因为品牌建立者提供具备安全性的产品能取得庞大利益。对此ST的BozotTI立场较为积极，他认为那应该是政府机构的责任，而产业界也要一起合作：「我们的责任是确保一种注重安全性的文化更为普及。」

　　德勒斯登工业大学的Fitzek同意Clemmer的看法，认为企业品牌是一种传播安全防护重要性的管道。Clemmer还替NXP的新买主说了几句话，表示机器学习将会扮演要角，而高通（Qualcomm）除了具备4G/5G调制解调器技术，也能为无数应用提供高阶安全处理技术。

　　现场有听众提出，消费大众可能会在不了解自己可能会被利用为进行DDOS攻击的情况下就去买了连网家电，因此一种安全认证标签会有需要，但不应该由政府来推动，因为速度会太慢。对此Clemmer表示，半导体厂商是在幕后运作，不会直接与终端消费者有连结；因此他认为，如果这类安全标签是由半导体厂商来推动，成功的可能性会很低。

　　英飞凌的Ploss则认为，安全性不该是静态的，因此如果连网家电会变成是个问题，应该有一种机制让它们的安全防护能被升级，或是被强制脱机。Fitzek也同意以上看法：「我们当然可以强调每台连网家电就是超级计算机，半导体厂商一定会喜欢这种说法，但实际上我们需要更聪明的网络，能自我监测，并排除具备安全风险的连网装置。」

　　可惜的是，就算这场CEO论坛的参与者都同意，掌控端对端安全性是物联网的成功关键，但那对于这个模糊的题目并没有太多实际用处；或许可以说，这是一个正确的题目，只是没在一个正确的场合上讨论？