随着5G商转时代的来临,万物联网的生活受到各界极大瞩目!根据Technavio研究数据指出,智慧家庭渗透率从2017年的14.9%,预计至2021年将跃升为60.7%。目前从扫地机器人、智慧冰箱、智慧烤箱到近期出现的智慧户外割草机,快速且便利的远端遥控家电,能搜集资料、上传云端,协助我们处理事情,甚至事先通知采买,物联网带来的「家庭智慧化」已逐渐成形。
|
UL身分识别管理安全部业务发展经理薛正。 |
然而,当所有装置都能连上网时,就可能成为骇客入侵的缺囗。日前时有所闻的资安问题就造成难以估计的损失与企业灾害,如银行自动柜员机的自动吐钞、科技大厂因骇客攻击而导致生产链断线等。智慧且便捷的背後是安全的质疑,间接影响消费者意识抬头,超过七成的千禧世代期待制造商应执行足够的资安评估。循着这波趋势,UL推出全球第一个融合产业标准的IoT安全评等 (IoT Security Rating),提供连网产品的资讯安全评估标准。
UL业务发展经理薛正指出,台湾擅长IT制造,要抢入IoT市场,「资安合规」必须正视。为因应消费者对於资安问题的重视与要求,许多通路、品牌也转而向ODM、OEM业者确认连网设备的安全性,也催生各国政府陆续针对IoT资安问题立法与订定强制规范,如:欧盟已推行的《欧盟GDPR和欧盟网路安全法案》、2020年即将实施的《加州及奥勒冈州 IoT装置安全法案》、美国国会提出的《美国IoT网路安全改善法》草案、中国提出的《中国物联网安全国家标准》。
但企业要达到「资安合规」是当前难题。以加州及奥勒冈州即将推行的《IoT装置安全法案》为例,其要求IoT设备最基本的安全需求,包含:不可以预设密码 (Default Password)、第一次启用时须强制变更密码…等,法令要求的是最终成效,并未详细说明设计、装置设定等过程该如何遵循。UL透过IoT产品的安全评等观点,可协助企业加快提出资安合规的证明。
资安防御四大挑战 第三方能协助避免盲点
综观现在制造商对於资安防护普遍面临的四大挑战,包括:
冘 安全资讯不透明:现在安全资讯的不对等,使得消费者不容易辨别产品的安全性,进而导致制造商之间缺乏重视资安的竞争动机、投资价值与动力。
冘 安全性难以量化:各界专家在谈论资安认定范围不同,缺乏产业安全基准。
冘 现有标准的挑战:每个IoT设备硬体资源的开发周期越来越短,过去的产业标准与测试无法用於现今的IoT设备上,而取得认证亦须投注大量资源与资金,成本之间的差距与消费者对标准的不理解,使资安挑战加剧。
冘 动态安全风险存在:资讯安全的世界威胁时时刻刻皆在改变,软体须经常更新。现有标准无法迎合动态的安全威胁,持续性的资安设备维护是必要的。
UL对此针对制造商的挑战痛点加以说明,IoT设备面临的资安评估与问题从过往的案例可以见得大多数的攻击是无方向性且大规模执行,如:2016年美国数以百万计的网路摄影机集中攻击DNS服务商,入侵方式建立在常见弱点和已知的连网漏洞上,把关资讯安全,势必需要解决常见的攻击与已知漏洞。
对制造商而言,面对这些挑战,若有第三方认证单位能提供一个公信、快速、易於采用、完整考量所有系统功能、亦接手後续持续评估,并辅以低成本、易於消费者识别产品资安能力的标志,制造商是有采纳意愿的。
UL强调,因应资安威胁的快速变化,资安防御应追求「80/20 法则」,制造商需将防御系统维持在缓解常见错误和常见攻击的漏洞之上,并能快速达成有意义的安全评估,共同追求「相对安全」,才是把关IoT安全的法则。
IoT安全评等 定义产品的资安防护力
UL根据前20大IoT资安设计准则,融合产业标准共识,订定出IoT安全评等,考量七大类别,包括:安全软体更新、资料加密、安全通讯、隐私需求、系统管理、逻辑安全、文件流程需求,以40多项测试项目进行严谨的评估,可从产品设计环节就导入安全防护规范,用五个安全等级:钻石、白金、金、银、铜,区分产品的资安防护能力。制造商只需透过1~3周的一次性产品评估,并後续每半年一次的监测,就能成本时间兼顾,降低资安漏洞风险。