个人健康数据:物联网安全的“小烦恼”

日期: 2015-06-03 作者:Mike Chapple翻译:邹铮 来源:TechTarget中国 英文

美国联邦贸易委员会(FTC)试图规范物联网的安全性,对于处理个人健康信息(PHI)的企业而言,这意味着什么呢?本文中专家Mike Chapple谈及了这个问题。 现在越来越多的事物开始连接到互联网,甚至比地球上的人类数量还多,而且这个数字还在迅速增长:根据Strategy Analytics表示,在五年内,每个人将拥有四台设备。互联网曾经只包括计算机、智能手机和平板电脑,而现在还包括联网血压计、烟雾探测器洗衣机。专家预测这个趋势还会继续发展,在未来五年,设备的数量将会翻一番。

这将是巨量的设备,将会产生海量的数据。 所有这些数据将会去哪里呢?个人和服务提供商应该如何保护物联网(IoT)所产生的敏……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

美国联邦贸易委员会(FTC)试图规范物联网的安全性,对于处理个人健康信息(PHI)的企业而言,这意味着什么呢?本文中专家Mike Chapple谈及了这个问题。

现在越来越多的事物开始连接到互联网,甚至比地球上的人类数量还多,而且这个数字还在迅速增长:根据Strategy Analytics表示,在五年内,每个人将拥有四台设备。互联网曾经只包括计算机、智能手机和平板电脑,而现在还包括联网血压计、烟雾探测器洗衣机。专家预测这个趋势还会继续发展,在未来五年,设备的数量将会翻一番。这将是巨量的设备,将会产生海量的数据。

所有这些数据将会去哪里呢?个人和服务提供商应该如何保护物联网(IoT)所产生的敏感信息的机密性、完整性和可用性呢?如果这些数据包括个人健康信息呢?美国联邦贸易委员会(FTC)的人员在研讨会解决了这些问题,并在名为《物联网:互联世界中的隐私性和安全性》的报告中公布了其调查结果。

什么是物联网?

虽然IoT是相当新的流行语,但其实它反映了过去十年出现的趋势。现在各种日常物品开始连接到互联网,定期发送和接收数据。企业开始提供Wi-Fi功能的慢炖锅、自动喷水灭水系统和灯泡。IoT正在改变世界,实现日常工作的自动化,并大规模进行数据分析。

在IoT的发展中,最有前景的领域之一是医疗保健领域。现在很多人在使用个人健身追踪器来收集身体活动的信息。血压计、血糖仪和量表等会收集生命体征数据,并上传到云服务器进行追踪和分析。这些新设备和服务可带来医疗优势,但同时也带来对IoT安全和用户隐私的问题。

IoT世界的安全和隐私风险

当我们使用IoT存储、处理和传输健康信息时,我们面临怎样的风险?FTC在研讨会详细探讨了这个问题,并确定了安全和隐私专业人员需要关注的三大类风险。这些风险与传统联网设备面临的风险类似,但这些设备用于医疗和安全目的带来了新的问题。

首先,IoT可能允许对个人信息的未经授权访问和滥用。IoT设备、云服务或它们之间的通信渠道中的漏洞可能允许外部攻击者访问敏感数据。而在涉及医疗设备的情况中,个人健康信息可能会暴露给入侵者或让全世界看到。

其次,IoT设备可能推动对其他系统的攻击。我们通常很难在非交互式设备安装安全补丁,这可能让它们易受攻击。在攻击者感染IoT设备后,他们可能会用它来入侵网络,并对包含敏感信息的其他系统发动攻击。

最后,在最糟糕的情况下,IoT设备可能会危及人身安全。FTC研讨会的与会者提到了联网胰岛素泵的例子。如果攻击者获得访问权限,在理论上来看,他们可能修改发送给患者的胰岛素量,导致患者受伤害或死亡。政府官员非常重视这个问题,并曾修改了被植入当时副总统Dic Cheney的起搏器以防止外部攻击。

这些风险需要安全人员的关注以及采取必要的缓解。企业在向市场推出IoT设备和服务时,必须审慎评估其产品的风险,并制定全面的安全和监测计划来其产品的保护机密性、完整性和可用性。

保护IoT领域的医疗数据

该FTC报告专注于物联网的隐私性和安全性,其中承认了IoT应用的复杂性,并建议企业遵循最佳做法来保护健康信息。从安全的角度来看,企业在推出产品前应执行风险评估,并测试安全措施。FTC还建议企业实现数据最小化,限制收集信息的数量,并在信息不再需要时删除信息。另外,企业应该在必要的时候向消费者提供通知,消费者也应该有权利对数据收集做出选择。该报告中最后且最有争议的建议是,美国国会“应制定强有力的灵活且技术中立的联邦立法,以加强其现有数据安全执法手段,以及在发生数据泄露事故时向消费者提供通知”。

企业应该如何应对

该报告对你和你企业的影响是什么?并不是很多。该报告由FTC人员所编写,但并不是管制行动。它只是对IoT的安全性提出了一些令人深思的问题,并为保护数据提供了正规指导。事实上,FTC专员Joshua D. Wright公开对该报告提出了异议,他称,他觉得对于这个广泛的话题,该报告的研究工作不足。Wright称:“在为与物联网相关的广泛隐私法提供行业最佳做法和建议之前,委员会及其工作人员至少应该进行必要的工作,以确定部署这种最佳做法和建议的潜在成本和优势。”

保护物联网的安全性

在政府和行业确定IoT安全的最佳做法的共同标准之前,我们还有很长的路要走。在此期间,对于处理医疗相关的IoT数据的企业而言,应该时刻保持警惕,并围绕这些数据构建可靠的安全程序。我们为保护医疗数据使用多年的标准也可适用于通过联网设备收集的数据。企业应利用常识,并保持数据安全。

作者

Mike Chapple
Mike Chapple

Mike Chapple, CISSP,University of Notre Dame的IT安全专家。他曾担任国家安全局和美国空军的信息安全研究员。Mike经常为SearchSecurity.com撰稿,是《信息安全》杂志的技术编辑。

翻译

邹铮
邹铮

相关推荐