安全標準是消費性物聯網的必備條件 智慧應用 影音
Microchip
ADI

安全標準是消費性物聯網的必備條件

  • 施沛予台北

先前歐盟發佈了《網路韌性法案》(Cyber Resilience Act),旨在加強歐洲的安全立法。歐盟委員會主席烏蘇拉.馮德萊恩(Ursula von der Leyen)表示:「如果一切都是互聯的,一切都可能被駭客攻擊。」也就是說,連網裝置越多,我們越容易遭受網路攻擊。考慮到物聯網(IoT)基礎設施建設的廣泛性,這無疑讓人擔憂。

新的立法旨在為所有連網裝置制定通用的網路安全標準。對於現有與物聯網裝置相關的歐洲安全標準來說,新立法將進一步提供支援。

每當新技術出現時,安全和保障立法當然必須跟上,任何延遲都可能使消費者面臨更高的風險。例如,英國第一條高速公路於1958年開通,之後發生了一系列致命車禍,但直到1965年才規定了速限。

同樣地,對於當今的物聯網市場來說,有必要加強相關的安全標準。這將降低消費者及其資產因惡意駭客攻擊或網路犯罪活動而面臨的威脅。

安全問題

大多數消費者認為,他們能買到的物聯網產品已經內建安全功能,無需對現代家居中越來越常見的功能如語音助手、智慧照明或監視器等進行設置或後續配置。然而,事實未必如此。許多人認為:既然沒必要擔心傳統的電視或冰箱的安全性,那麼使用新款智慧揚聲器時,又有何擔憂呢?

雖然產業聯盟和政府機構已經發佈了各種指南和網路安全標準,對最低安全級別做出了規定,但並非所有物聯網裝置製造商和供應商都執行了這些標準。這就是為什麼我們經常聽到智慧家電、醫療設備和嬰兒監視器被駭客攻擊、人們的隱私被侵犯,以及資料被竊取的事時有所聞。

由於物聯網產業在安全自律方面行動不夠迅速,世界各國政府不得不介入,以確保消費者權益得到充分保護。據研究人員估計,40.8%的智慧家居中至少有一個裝置易受攻擊,而這是2019年的資料,毫無疑問,該數字還在繼續上升。

立法進行時
歐盟新發佈的《網路韌性法案》是一個充滿希望的開端,但要解決所有必要的細節問題仍有許多工作要執行。

關於技術的立法可能是個複雜的過程,但關鍵是產業和消費者都必須意識到物聯網安全與未來監管措施息息相關:

(1)預設安全:對於政府來說最需要進行的改變是需要要求物聯網產品在上市時即保證安全。新的物聯網產品在開箱時就應具備安全使用功能。這也意味著,一旦消費者將新的物聯網裝置新增到其網路中,該裝置應無需任何進一步配置即可安全使用。先前英國政府推出了《產品安全和電信基礎設施法案》(PSTI),該法案直接針對的是那些出廠時帶有通用預設密碼的產品。除了針對裝置設定的安全要求外,如不遵守該法案還將受到處罰。這將對消費者產生真正的影響,因為在英國,生產或銷售物聯網裝置的任何公司如果不符合新標準,都將受到處罰,對於這些公司而言,這將是最基本的底線。歐盟會密切關注該法案對市場的影響。

(2)威脅模型分析:物聯網裝置製造商需要考慮產品在開發、生產和使用過程中面臨的威脅和風險。這就需要進行研究,以了解消費者將如何操作產品、產品將處理何種資料、以及最重要的是誰可能會破壞這些資料。一旦企業了解到誰最可能是攻擊者,就可以設計出能夠阻止攻擊者的產品。

(3)安全事件的因應和處理流程:公司必須證明其能夠有效因應網路安全事件。公司必須具備營運安全事件應變流程,以解決影響其營運的事件。同時,還應具備產品安全事件應變流程,以協助消費者解決與產品相關的安全事件。

(4)終身安全:如果公司開發的產品部署週期較長,則必須證明在這些產品的預期生命週期內,這些產品的安全性能夠可靠地更新/升級,以因應可能出現的任何新威脅。

(5)安全營運:技術製造商必須在自己的營運中採取安全措施,以確保其生產的產品是安全可靠的。例如,如果製造商因網路安全疏忽或受損或缺乏安全管理流程而不斷出現內部安全性漏洞,則有理由認為其產品自身的安全性不足。

(6)供應鏈合規性:公司必須證明其能夠有效管理網路安全風險,因為網路安全風險會影響整個供應鏈。隨著時間的推移以及威脅不斷地增加和變化,必須進行定期問責檢查,以監控安全標準是否合規。

制定合乎常識的物聯網安全法規至關重要但並非易事,不過這個目標是可以實現,且毫無疑問必須要實現的。對於業界許多公司已經採取的物聯網安全措施而言,英國政府和歐盟的相關聲明無疑是一種鼓勵和認可。如果產業能夠共享最佳做法,安全技術專家就能夠幫助立法者起草法規,在保證消費者資料安全的同時,讓物聯網技術在我們的日常生活中繼續蓬勃發展。

關鍵字