觀點

打造三項安全基礎 加速物聯網產業起飛

2016 / 08 / 15
邱述琛
打造三項安全基礎 加速物聯網產業起飛

國際資訊科技研究暨顧問機構Gartner於2015年11月與12月發表對於IoT在2016年發展預測報告中分別指出,2016 年連網物件數量將達到64億件,相較於2015年增加30%,到2020年更將達到208億件,而2016年,每日連網物件數量達到550萬件,並估計2016年將會有16億的連網物件數量運用在智慧城市中,而智慧商業建築與智慧家庭將會是運用比例最高的領域。 


2015年底國內知名大廠鴻海集團宣布與亞太電信合作,搶進車聯網及智慧家庭商機;納智捷也發表Luxgen Link+、車聯網技術,透過 4G無線通訊,將所有資訊傳輸到雲端伺服器,整合利用並提供綜合服務;韓國三星集團也宣佈2016年的智慧電視將加入 IoT控制技術,可連結各項智慧家庭功能。2016年,IoT更加廣泛的應用於日常生活(智慧內衣、智慧家庭)、生態保護(追蹤海牛等瀕臨絕跡物種)、防災救援(震災預報、淹水預警、溺水救援)、醫療保健(帕金森徵候群監控、血液含氧監控、藥物效果監控)及其他智慧運用(智慧城市、智慧運輸、智慧照明、智慧農耕、智慧監控、智慧生產管理等)。一時之間物聯網已經從理論,跨入了實現階段,大量運用在我們的日常生活中。

 
是美夢還是惡夢—揮之不去的IoT安全議題 
隨著IoT勢不可擋的發展趨勢,伴隨而來的其他議題,包括:互通性、安全等,也同時引發高度的討論。在賽門鐵克近期發佈的「2016年安全威脅趨勢預測」中,提高物聯網設備安全需求即居於第1項,並特別提到了醫療設備安全性問題,一項由美國Dartmouth學院進行名為「信賴醫療與健康」的研究也發現,病患的胰島素注射劑量可能會接受惡意程式感染的智慧手機指令而調整,或是病患的生理追蹤APP可能被臨近的人用藍芽搜尋並聯結。 

美國官方也關注未來此類弱點若被恐怖分子利用時,對國家安全可能造成的衝擊。除了大家比較熟悉的新聞,駭客可能駭入行駛中車輛外,紐西蘭與德國大學的研究指出,只要透過相當便宜的設備,就可以追蹤連網車輛的無線通訊,未來政府或車商可能利用這種技術進行監控。由此可以發現,IoT對我們未來生活,在安全、隱私等面向可能造成的影響與衝擊,遠遠超過大家目前的想像。

以顧客為中心 建構安全IoT生態
 
KPMG於2015年年底發表的「安全與IoT生態系統(Security and the IoT ecosystem)」專文中提出,相較於以往科技生態系統的線性流程,未來IoT生態系統將會由「服務供應商」、「運用科技」、「信賴供應者」、「電信服務供應商」、「設備製造商」以顧客為中心的環狀型態,在兼顧「安全」、「隱私」及「信任」的前提下,提供服務。而根據KPMG的調查報告顯示,有超過9成的IoT使用受訪者表示,非常關切或關切其網際安全議題。

 

    
目前IoT的標準仍在發展競合階段,根據國外研究機構451 Research的報告指出,目前的標準包括:6LoWPAN、AmQP、CoAP、DDS、JMS、MQTT及XMPP等,但IoT必須要連結才能發揮最大的效益,故互通性(Interoperability)也是在安全性之外,另一項重要的考慮因素。 

從2015年底發生可以連結無線網路的「Hello芭比」因加密方法不夠安全及伺服器漏洞,導致孩童的對話可能遭到駭客竊聽;學齡前兒童電子學習產品製造商VTech(偉易達)遭到駭客入侵,可能有數百萬名用戶的資料外洩;2016年世界上最大門禁控制系統製造商HID遭發現遠端管理漏洞,導致用戶家中門禁、警報系統可能遭駭客控制;三菱汽車熱銷PHEV插電混合車的Wi-Fi無線網路安全防護不足等案例都可以知道IoT的應用已經讓資安攻擊伺機入侵到你我的新興科技數位生活應用中,值得IoT的生態鏈所有發展者、政策與標準規範者及一般使用者重視。

練好安全基本功,期待豐收的時刻 
國內IoT產業方興未艾,如能盡速排除影響產業發展的安全問題,將有助於整體應用面的蓬勃成長,KPMG有以下三點建議:

 1.將安全功能嵌入IoT設備與整體服務 
IoT設備本身具有資訊蒐集、儲存、處理、傳輸及存取等多項作業,每一項作業都必須考量安全因素,其提供的服務,更必須透過電信供應商或結合雲端技術,故身分識別、傳輸加密、存取控制、隱私保護等安全性議題,在IoT中都非常重要,不但要預設啟動,而且要監控異常失效。所以將IoT所有安全功能嵌入IoT設備,並於整體服務中持續監控,將是一項可以考慮的作法,當然,這也代表所有參與IoT的業者,必須在設計設備時,就將安全性需求納入規劃,除此之外,更要慎選供應商與合作夥伴,這樣才能共同打造一個安全的IoT生態環境。

2.推動制訂IoT安全管理框架 
美國在2015年已開始要求汽車製造商提供更多因應可能出現的駭客攻擊的保護方案,並可能要求政府制定對汽車製造商的聯邦網際安全標準,建立一項評分系統,讓消費者瞭解每一部車輛的安全與防護性能,另外也要求汽車製造商應發展隱私保護政策並據以實作他們透過科技與服務直接或自第三方蒐集、使用及分享的資訊。 

歐洲議會在2015年12月也對歐盟首部網路安全法規達成協議,將對網路服務業者進行監管,要求提供重要服務的網路公司確保其基礎設施的安全性,並報告任何重大安全性漏洞。其他國家或行業(特別是關鍵基礎建設)也開始制定指導方針來解決物聯網設備所面臨的資訊使用、資料所有權及相關議題。雖然IoT的技術仍在持續發展,但實際的運用已經不斷推出,現行管理規範已無法滿足實際技術與市場的需求,故應考量加速討論與制訂國內IoT的安全管理框架,從法規遵循面來協助並加速IoT的發展。

3.借助第三方專業能量 
在國外IoT的發展實務中,藉由第三方公正機關進行查核的比例已經有提高的趨勢,像是服務組織控制(Service Organization Control) Type II的查核報告即是依據「信賴服務準則與標準(Trust Services Principles and Criteria)」中5個面向,包括:「安全性」、「可用性」、「作業完整性」、「機密性」及「隱私」,對提供服務組織的各項管控措施設計與營運,進行有效性查核並提出報告。其實在國內電子支付也已導入類似的方法,提供服務的單位,每年必須針對資訊安全,委請第三方公正單位進行查核,並將報告提交主管機關備查。 

未來在推動國內IoT發展時,如果可以從法規遵循面訂定相關的管理框架,再藉由第三方專業能量的幫助,相信必定能共同營造更便利、更安全的IoT整體環境。