IoT產品從製程到元件都需合規 從設計源頭就融入安全
- 尤嘉禾/台北
-
當今駭客攻擊的目標已從企業IT系統擴及到OT工控系統、智慧家電、醫療器材、連網汽車、充電樁等各種連網產品,駭客破解系統竊取用戶隱私資料等新聞頻傳,使得各國及各產業紛紛開始制定產業資安規範,包括物聯網安全測試(EN 303645)、無線電設備網路安全要求(EN 18031)、工控系統網通安全(IEC 62443)等,不同產品須取得不同認證規範,即使同一產品進入各國市場還需個別符合當地市場法規。專注於電機電子與無線通訊產品各項測試驗證服務的必維(Bureau Veritas)集團旗下立德國際,日前舉辦「全球物聯網資安高峰會」研討會,IoT產品製造商踴躍參與以掌握各國法規最新趨勢,並瞭解如何取得認證布局全球。
必維集團立德商品試驗有限公司 (Bureau Veritas) 表示,過去大家較關注資訊安全管理系統(ISO 27001),往往忽略產品資安的重要性,但從各國法規趨勢可看到未來從產品、製程到元件的安全相關規範將愈來愈多。不管是從消費性物聯網產品、基礎建設OT系統、醫材、鐵道、半導體、海事、政府機關資安指南到充電樁、儲能系統等領域的資安規範,Bureau Veritas都能提供完整的服務,尤其是在消費性物聯網產品的部分,BV可從EN 303645、EN 18031-1,-2,-3,及涵蓋日本、新加坡、澳洲、印度、巴西、歐盟無線電設備指令(RED)及資安韌性法(CRA)、英國產品安全及電信基礎設施法規(PTSI)及美國NIST消費性IoT產品網路安全標籤等提供完整的資安合規服務。
而上述這些法規有些是強制性的,如歐盟RED、CRA及英國PTSI,若製造商違反CRA最嚴重將可罰至1,500萬歐元,而RED將在2025年8月執行,CRA則在2024年10月就將生效,生效後製造商必須在產品生命週期中執行基本的安全措施,在2025年7月前就開始準備工作,才能趕得上時程;另一些則是自願性的,如美國針對智慧裝置的網路信任標章計畫、德國自願性韌性標章等。
立德國際(Bureau Veritas)的事業發展部資安專業顧問團隊也強調將安全融入產品設計階段的重要性,許多企業的產品往往在送審後才被發現欠缺安全的概念。包括使用通用性、簡單好猜的預設密碼,或沒有關閉不提供給客戶使用的功能的相關權限等,都是企業送審時常見的缺失。邱郁清強調,在產品資安方面,做好漏洞管理和滲透測試這兩件事將非常重要。
而在2024年8月中剛發布歐盟RED調和標準,是指要販售到歐盟市場的無線藍牙產品都須符合RED指令,尤其條文3.3 d/e/f是關於網路安全、個資隱私、金流防詐等內容,分別對應到EN 18031-1,-2,-3,預計2025年8月1日強制執行。企業必須特別注意,並非已通過EN 303645測試就代表符合RED網路安全要求。
在此次研討會中,印度Vincular測試實驗室專家也受邀來台分享印度網路資安法規,也是業界首場!包括網通安全認證計畫(ComSec Scheme),此計畫主要是對電信設備執行強制性的測試與認證,此外也有自願性安全認證(VSC),主要鼓勵CPE多功能路由器、IP路由器等OEM廠商來參加。對無線CPE及IP路由器,未/已通過TEC ER技術認證的型號,分別自2024年7月1日/10月1日起需強制認證,而光纖網路終端ONT設備未/已通過TEC ER認證的型號則是自2025年2月4月起需強制認證。
