隨著5G商轉時代的來臨,萬物聯網的生活受到各界極大矚目!根據Technavio研究數據指出,智慧家庭滲透率從2017年的14.9%,預計至2021年將躍升為60.7%。目前從掃地機器人、智慧冰箱、智慧烤箱到近期出現的智慧戶外割草機,快速且便利的遠端遙控家電,能蒐集資料、上傳雲端,協助我們處理事情,甚至事先通知採買,物聯網帶來的「家庭智慧化」已逐漸成形。
|
UL身分識別管理安全部業務發展經理薛正。 |
然而,當所有裝置都能連上網時,就可能成為駭客入侵的缺口。日前時有所聞的資安問題就造成難以估計的損失與企業災害,如銀行自動櫃員機的自動吐鈔、科技大廠因駭客攻擊而導致生產鏈斷線等。智慧且便捷的背後是安全的質疑,間接影響消費者意識抬頭,超過七成的千禧世代期待製造商應執行足夠的資安評估。循著這波趨勢,UL推出全球第一個融合產業標準的IoT安全評等 (IoT Security Rating),提供連網產品的資訊安全評估標準。
UL業務發展經理薛正指出,台灣擅長IT製造,要搶入IoT市場,「資安合規」必須正視。為因應消費者對於資安問題的重視與要求,許多通路、品牌也轉而向ODM、OEM業者確認連網設備的安全性,也催生各國政府陸續針對IoT資安問題立法與訂定強制規範,如:歐盟已推行的《歐盟GDPR和歐盟網路安全法案》、2020年即將實施的《加州及奧勒岡州 IoT裝置安全法案》、美國國會提出的《美國IoT網路安全改善法》草案、中國提出的《中國物聯網安全國家標準》。
但企業要達到「資安合規」是當前難題。以加州及奧勒岡州即將推行的《IoT裝置安全法案》為例,其要求IoT設備最基本的安全需求,包含:不可以預設密碼 (Default Password)、第一次啟用時須強制變更密碼…等,法令要求的是最終成效,並未詳細說明設計、裝置設定等過程該如何遵循。UL透過IoT產品的安全評等觀點,可協助企業加快提出資安合規的證明。
資安防禦四大挑戰 第三方能協助避免盲點
綜觀現在製造商對於資安防護普遍面臨的四大挑戰,包括:
安全資訊不透明:現在安全資訊的不對等,使得消費者不容易辨別產品的安全性,進而導致製造商之間缺乏重視資安的競爭動機、投資價值與動力。
安全性難以量化:各界專家在談論資安認定範圍不同,缺乏產業安全基準。
現有標準的挑戰:每個IoT設備硬體資源的開發週期越來越短,過去的產業標準與測試無法用於現今的IoT設備上,而取得認證亦須投注大量資源與資金,成本之間的差距與消費者對標準的不理解,使資安挑戰加劇。
動態安全風險存在:資訊安全的世界威脅時時刻刻皆在改變,軟體須經常更新。現有標準無法迎合動態的安全威脅,持續性的資安設備維護是必要的。
UL對此針對製造商的挑戰痛點加以說明,IoT設備面臨的資安評估與問題從過往的案例可以見得大多數的攻擊是無方向性且大規模執行,如:2016年美國數以百萬計的網路攝影機集中攻擊DNS服務商,入侵方式建立在常見弱點和已知的連網漏洞上,把關資訊安全,勢必需要解決常見的攻擊與已知漏洞。
對製造商而言,面對這些挑戰,若有第三方認證單位能提供一個公信、快速、易於採用、完整考量所有系統功能、亦接手後續持續評估,並輔以低成本、易於消費者識別產品資安能力的標誌,製造商是有採納意願的。
UL強調,因應資安威脅的快速變化,資安防禦應追求「80/20 法則」,製造商需將防禦系統維持在緩解常見錯誤和常見攻擊的漏洞之上,並能快速達成有意義的安全評估,共同追求「相對安全」,才是把關IoT安全的法則。
IoT安全評等 定義產品的資安防護力
UL根據前20大IoT資安設計準則,融合產業標準共識,訂定出IoT安全評等,考量七大類別,包括:安全軟體更新、資料加密、安全通訊、隱私需求、系統管理、邏輯安全、文件流程需求,以40多項測試項目進行嚴謹的評估,可從產品設計環節就導入安全防護規範,用五個安全等級:鑽石、白金、金、銀、銅,區分產品的資安防護能力。製造商只需透過1~3週的一次性產品評估,並後續每半年一次的監測,就能成本時間兼顧,降低資安漏洞風險。