隨著5G商轉時代的推波助瀾,萬物聯網的生活備受矚目。根據Technavio研究數據指出,智慧家庭滲透率從2017年的14.9%,預計至2021年將躍升為60.7%。目前從掃地機器人、智慧冰箱、智慧烤箱到近期出現的智慧戶外割草機,快速且便利的遠端遙控家電,能蒐集資料、上傳雲端,協助我們處理事情,甚至事先通知採買,物聯網帶來的「家庭智慧化」已逐漸成形 。

物聯世界成形 資安問題事關重要

然而,當所有裝置都能連上網時,就可能成為駭客入侵的缺口。日前時有所聞的資安問題就造成難以估計的損失與企業災害,如銀行自動櫃員機的自動吐鈔、科技大廠因駭客攻擊而導致生產鏈斷線等。智慧且便捷的背後是安全的質疑,間接影響消費者意識抬頭,超過七成的千禧世代期待製造商應執行足夠的資安評估。循著這波趨勢,UL率先推出融合產業標準的IoT安全評等(IoT Security Rating),提供連網產品的資訊安全評估標準,而資安風險到底該怎麼把關?

各國陸續立法 資安合規勢在必行

UL業務發展經理薛正指出,台灣擅長IT製造,要搶入IoT市場,「資安合規」必須正視。為因應消費者對於資安問題的重視與要求,許多通路、品牌也轉而向ODM、OEM業者確認連網設備的安全性,並催生各國政府陸續針對IoT資安問題立法與訂定強制規範,如:歐盟已推行的《歐盟GDPR和歐盟網路安全法案》、2020年即將實施的《加州及奧勒岡州 IoT裝置安全法案》、美國國會提出的《美國IoT網路安全改善法》草案、中國提出的《中國物聯網安全國家標準》。

但企業要達到「資安合規」是當前難題。以加州及奧勒岡州即將推行的《IoT裝置安全法案》為例,其要求IoT設備最基本的安全需求,包含:不可以預設密碼(Default Password)、第一次啟用時須強制變更密碼…等,法令要求的是最終成效,並未詳細說明設計、裝置設定等過程該如何遵循。UL透過IoT產品的安全評等觀點,可協助企業加快提出資安合規的證明。

資安防禦面對四大挑戰

綜觀現在製造商對於資安防護普遍面臨的四大挑戰,包括:

  • 安全資訊不透明:現在安全資訊的不對等,使得消費者不容易辨別產品的安全性,進而導致製造商之間缺乏重視資安的競爭動機、投資價值與動力。
  • 安全性難以量化:各界專家在談論資安認定範圍不同,缺乏產業安全基準。
  • 現有標準的挑戰:每個IoT設備硬體資源的開發週期越來越短,過去的產業標準與測試無法用於現今的IoT設備,而取得認證亦須投注大量資源與資金。
  • 動態安全風險存在:資訊安全的世界威脅時時刻刻皆在改變,軟體須經常更新。現有標準無法迎合動態的安全威脅,持續性的資安設備維護是必要的。

針對製造商面對的這些挑戰,UL指出IoT設備的資安評估與問題可以從過往的案例得知大多數的攻擊是無方向性且大規模執行,如:2016年美國數以百萬計的網路攝影機集中攻擊DNS服務商,入侵方式建立在常見弱點和已知的連網漏洞上,把關資訊安全,勢必需要解決常見的攻擊與已知漏洞。

UL強調,因應資安威脅的快速變化,資安防禦應追求「80/20 法則」,製造商需將防禦系統維持在緩解常見錯誤和常見攻擊的漏洞之上,並能快速達成有意義的安全評估,共同追求「相對安全」,才是把關IoT安全的法則。

IoT安全評等定義產品資安防護力

UL根據前20大IoT資安設計準則,融合產業標準共識,訂定出IoT安全評等,考量七大類別,包括:安全軟體更新、資料加密、安全通訊、隱私需求、系統管理、邏輯安全、文件流程需求,以40多項測試項目進行嚴謹的評估,可從產品設計環節就導入安全防護規範,用五個安全等級:鑽石、白金、金、銀、銅,區分產品的資安防護能力。製造商只需透過1-3週的一次性產品評估,並後續每半年一次的監測,就能成本時間兼顧,降低資安漏洞風險。

IoT Security Rating

UL IoT 安全評等標誌。(來源:UL)

資訊世界確確實實存在安全問題,尤其資安威脅時常改變,要在資安動態危險下防禦安全是一門課題。除了協助製造商定義IoT安全,並遵循國際標準,UL並期望協助消費者讓資安訊息透明化,以易於識別的UL IoT安全評等標誌,傳遞安全資訊,讓消費者能夠更直觀更明智地選擇IoT產品。

工業4.0真正落地不可不知的關鍵解決方案!
面臨AIoT浪潮襲來,如何實現數據分析精準化、硬體驅動高效化?「2019智慧製造暨趨勢發展研討會」將深度剖析智慧製造最新趨勢,以及未來將面臨的變革與商機!