專題論壇 | 物聯生活不給「駭」 UL IoT 安全評等大揭密
主講人:薛正,UL 身分識別管理安全部 業務發展經理
物聯網 (IoT) 發展夯,智慧家庭、車聯網等產品紛紛出籠,資訊安全顯得關鍵!一般製造商普遍欠缺對資安威脅防範的能力,又資安威脅會隨著新漏洞被挖掘而產生動態變化,產品如何在資安層面進行防範並做到消費者保護,目前 UL 正藉由 IoT 安全評等 (IoT Security Rating),協助產業定義各種 IoT 產品的資安防護能力,到底 UL 是以什麼為基準來評估?如何幫助製造商與消費者把關資安?
隨著5G商轉時代的推波助瀾,萬物聯網的生活受到各界極大矚目!根據Technavio研究數據指出,智慧家庭滲透率從2017年的14.9%,預計至2021年將躍升為60.7%。目前從掃地機器人、智慧冰箱、智慧烤箱到近期出現的智慧戶外割草機,快速且便利的遠端遙控家電,能蒐集資料、上傳雲端,協助我們處理事情,甚至事先通知採買,物聯網帶來的「家庭智慧化」已逐漸成形!
需求驅動的5G技術
然而,5G技術是來自於需求的推動。制定通訊標準的3GPP針對未來的行動通訊網路需求與科技應用趨勢進行分析,規畫出5G技術的主要發展輪廓,包括增強型行動寬頻 (eMBB, enhanced Mobile Broadband)、巨量物聯通訊 (mMTC, massive Machine Type Communication),以及超可靠與超低延遲通訊 (URLLC, Ultra-Reliable and Low Latency Communication)。
寬頻相較之下不是新東西,每一個行動通訊的世代一如既往把頻寬與容量向上推升一級,所以5G的網路比4G快,就如同4G比3G快一樣。但巨量的連結與超低延遲的需求就完全展現了來自科技的驅動力,過去1G到4G從未想過的延遲,在新科技應用下就成了必須改善的問題;巨量物聯通訊更是十年前沒人想到的事。
物聯世界成形 資安問題事關重要
然而,當所有裝置都能連上網時,就可能成為駭客入侵的缺口!日前時有所聞的資安問題就造成難以估計的損失與企業災害,如:銀行自動櫃員機的自動吐鈔、科技大廠因駭客攻擊而導致生產鏈斷線等。智慧且便捷的背後是安全的質疑,間接影響消費者意識抬頭,超過七成的千禧世代期待製造商應執行足夠的資安評估。循著這波趨勢,UL推出全球第一個融合產業標準的IoT安全評等 (IoT Security Rating),提供連網產品的資訊安全評估標準,而資安風險到底該怎麼把關,UL進一步分享。
各國陸續立法 資安合規不能避免
UL業務發展經理薛正指出,台灣擅長IT製造,要搶入IoT市場,「資安合規」必須正視。為因應消費者對於資安問題的重視與要求,許多通路、品牌也轉而向ODM、OEM業者確認連網設備的安全性,也催生各國政府陸續針對IoT資安問題立法與訂定強制規範,如:歐盟已推行的《歐盟GDPR和歐盟網路安全法案》、2020年即將實施的《加州及奧勒岡州 IoT裝置安全法案》、美國國會提出的《美國IoT網路安全改善法》草案、中國提出的《中國物聯網安全國家標準》。
但企業要達到「資安合規」是當前難題。以加州及奧勒岡州即將推行的《IoT裝置安全法案》為例,其要求IoT設備最基本的安全需求,包含:不可以預設密碼 (Default Password)、第一次啟用時須強制變更密碼…等,法令要求的是最終成效,並未詳細說明設計、裝置設定等過程該如何遵循。UL透過IoT產品的安全評等觀點,可協助企業加快提出資安合規的證明。
資安防禦四大挑戰 第三方能協助避免盲點
綜觀現在製造商對於資安防護普遍面臨的四大挑戰,包括:
- 安全資訊不透明:現在安全資訊的不對等,使得消費者不容易辨別產品的安全性,進而導致製造商之間缺乏重視資安的競爭動機、投資價值與動力。
- 安全性難以量化:各界專家在談論資安認定範圍不同,缺乏產業安全基準。
- 現有標準的挑戰:每個IoT設備硬體資源的開發週期越來越短,過去的產業標準與測試無法用於現今的IoT設備上,而取得認證亦須投注大量資源與資金,成本之間的差距與消費者對標準的不理解,使資安挑戰加劇。
- 動態安全風險存在:資訊安全的世界威脅時時刻刻皆在改變,軟體須經常更新。現有標準無法迎合動態的安全威脅,持續性的資安設備維護是必要的。
UL對此針對製造商的挑戰痛點加以說明,IoT設備面臨的資安評估與問題從過往的案例可以見得大多數的攻擊是無方向性且大規模執行,如:2016年美國數以百萬計的網路攝影機集中攻擊DNS服務商,入侵方式建立在常見弱點和已知的連網漏洞上,把關資訊安全,勢必需要解決常見的攻擊與已知漏洞。
對製造商而言,面對這些挑戰,若有第三方認證單位能提供一個公信、快速、易於採用、完整考量所有系統功能、亦接手後續持續評估,並輔以低成本、易於消費者識別產品資安能力的標誌,製造商是有採納意願的。
UL強調,因應資安威脅的快速變化,資安防禦應追求「80/20 法則」,製造商需將防禦系統維持在緩解常見錯誤和常見攻擊的漏洞之上,並能快速達成有意義的安全評估,共同追求「相對安全」,才是把關IoT安全的法則。
IoT安全評等 定義產品的資安防護力
UL根據前20大IoT資安設計準則,融合產業標準共識,訂定出IoT安全評等,考量七大類別,包括:安全軟體更新、資料加密、安全通訊、隱私需求、系統管理、邏輯安全、文件流程需求,以40多項測試項目進行嚴謹的評估,可從產品設計環節就導入安全防護規範,用五個安全等級:鑽石、白金、金、銀、銅,區分產品的資安防護能力。製造商只需透過1-3週的一次性產品評估,並後續每半年一次的監測,就能成本時間兼顧,降低資安漏洞風險。
UL IoT 安全評等標誌
從消費者出發 資安資訊透明化
資訊世界確確實實存在安全問題,尤其資安威脅時常改變,要在資安動態危險下防禦安全是一門課題。UL立基於長久豐富的資安研究與安全認證,面對瞬息萬變的資安挑戰,除了協助製造商去定義IoT安全,並遵循國際標準,也站在消費者立場,將資安訊息透明化,以易於識別的UL IoT安全評等標誌,傳遞安全資訊,讓消費者能夠更直觀更明智地選擇IoT產品!
持續探索
