省成本、低耗時、一試多證，SESIP躍居炙手可熱的IoT資安認證

近年物聯網(Internet of Things, IoT)裝置持續爆量增長，成為許多組織或個人賴以滿足各種應用需求的載體。然而多數IoT裝置在設計之初未考慮安全性，所以存在不少弱點，可能導致用戶的攻擊面擴大，對資料機密性、完整性與可用性釀成風險。
 
為減輕前述風險，各界日益關注物聯網資安議題，逐漸傾向以一些公正的評估標準作為採購依據。此時特別針對IoT平台與產品設計所提出之具的SESIP，因而受到各界矚目。
 
產品安全開發成顯學，但對IoT廠商構成沈重壓力
隸屬DEKRA德凱集團的安華聯網，其資深售前顧問周辰儒Bruce Chou表示，物聯網生態的基底為相關晶片，供應商包括恩智浦、意法半導體、英飛凌、高通，乃至國人熟識的聯發科、瑞昱…等，全球約數十家。同屬生態系的物聯網平台，廠家總體約莫數百家，如Amazon、Microsoft、IBM、Oracle…等知名大廠皆擁有各自IoT平台。但數量最多、甚至到達數十億等級產量，則是琳瑯滿目的IoT裝置，如網路型監控攝影機(IP CAM)、智慧路燈、智慧冰箱…等。
 
先從晶片談起，它基本上是系統單晶片(System on a Chip, SoC )，內含處理器、記憶體、Input/Output(I/O)、圖形處理器(GPU)、Radio…等配置，彷若一台小電腦，其中往往承載諸多機敏資訊。接著談到搭載這些晶片的多元IoT產品，其供應商長期面臨激烈競爭，所以往往想方設法加速上市時間、實現 降低成本目標。至於設計目的，原來只求正常作動而已。
 
惟後續隨著客戶要求、法遵合規、產品差異化等眾多因素湧現，迫使IoT開發者責任加重，須在設計階段符合資安，堪稱沉重壓力；因為他們沒有那麼多時間和金錢，可以好好地善盡此事。
 
「試想產品生命週期僅1~2年，如今卻要花半年或1年以上時間來準備認證，肯定是艱鉅挑戰，」Bruce Chou說，此外開發者擅於產品設計，並不專精於資安，如今為了落實安全開發，不管另請人才或自我進修，皆會付出高昂學習成本。
 
但儘管如此，IoT資安仍是不容妥協的議題，因為駭客會利用IoT裝置破口，釀成竊取機敏資訊、癱瘓用戶端網路等災難，後果不堪設想。所以IoT生態所有供應商，皆需克服重重挑戰，滿足相關資安合規要求。
 
一次測試有機會拿SESIP+PSA Certified雙認證
以IoT晶片和終端產品都適用的資安標準而論，最具代表性者是安全評估共通準則(Common Criteria, CC )，但它的取證時間動輒一年半載，且開發者須因應繁瑣規範而撰寫大量文件，以致付出可觀的時間與金錢成本，難免讓不少業者卻步。所以後來陸續出現其他相對輕量級的IoT資安標準，如漸受矚目的SESIP及PSA Certified；其中SESIP由GlobalPlatform提出，而PSA Certified則由Arm提出。
 
臺灣有很多IoT裝置代工生產製造商(Original Equipment Manufacturer , OEM) ，當下面臨的最大考驗，在於經常接收到不同夥伴或客戶要求、需通過許多不同安全認證，意謂他們須為此負擔繁重成本；對照產品生命週期僅1~2年的景況，顯得極不匹配、更不切實際。
 
業者如何紓解此困境？需要有一個化繁為簡的方法，幫助廠商既能掌握資安、又能減少精力，於是SESIP與PSA Certified被各方寄予厚望。SESIP全名為Security Evaluation Standard for IoT Platforms，重點在於簡化CC標準，藉由較低的取證門檻且同樣滿足IoT安全要求，更易於被IoT廠商接受。
 
簡言之，SESIP旨在提供一個兼具彈性與效率的認證方法，讓變化多端的複雜IoT生態有共通準則可以依循，從而在3~6個月內取得認證。更重要的是，SESIP不僅可以幫助IoT開發者減少複雜度與成本，加快進入市場的時間，且因IoT裝置從上而下涵蓋眾多層級，若從晶片開始就已拿到證書，即可望發揮一證多用功效。
 
Bruce Chou說，假設晶片商 C開發者已獲得SESIP認證，後續只要提供證書加上打包好的產品認證文件(certification package) ，即有助於客戶免除此部分的安全認證要求，增加其晶片賣相。另外加密資料庫(Crypto Library) 廠商 B開發者，則需呼叫晶片的加密功能。假使搭配已取得SESIP認證的晶片，不僅有助免除許多學習成本，且能加快其Crypto Library取證速度。至於所屬系統整合(System Integration, SI)產業的 A開發者，需協助客戶建構傳輸層安全性協定(Transport Layer Security, TLS)，此時若引用通過SESIP認證的Crypto Library，便可降低投入成本，更輕易讓此TLS取得SESIP認證，不必從頭到尾什麼都自己做。
 
具體來說，SESIP對晶片商的好處，在於無需耗時費力便可有效提升安全水平，形塑產品的差異化優勢。對軟體商來說，只要搭配通過認證的晶片、呼叫箇中像是加密等各項功能，即可省卻許多重複性工作，加速通過SESIP認證。對於SI，可降低專案開發風險與成本，避免日後因客戶資訊外洩而遭受客訴。
 
另對於臺灣許多OEM工廠或服務提供者，SESIP可協助其達到良好的合規。係因SESIP的認證內容用途甚廣，可映照到不同工業標準，譬如透過SESIP和PSA Certified共同承認的Profile，可以更容易取得PSA Certified；更有甚者，還能對應到ETSI EN 303 645與英國PSTI方案，藉此通過這些認證，創造一試多證效果。
 
總括而論，對IoT終端使用者而言，不論為工業級或消費級產品，大家對資安意識都不斷攀升，甚至對GDPR(General Data Protection Regulation)等個資保護法規多有重視。因此不管是晶片、軟體或設備開發商，如何能確保資料不洩露，繼而為自身產品創造差異化價值，無疑至關重要，那麼藉由通過SESIP認證來證明的安全開發能力，顯然是最理想的開端。