從物聯智慧的資安疑慮事件看到的隱形助力

國內專注於物聯網雲端服務開發的軟體商物聯智慧(TUTK)，對於近期該公司的資安議題所帶來的波瀾有不少體會與心得，對一家以軟體及雲端解決方案為主軸的物聯網知名企業而言，在面對資安議題時容易被外界放大檢視，以其近來碰到的案例來看，卻也看到事件之後帶來的隱形助力。
 
首先，事件的起源背景是美國國土安全部所屬之網絡安全和基礎設施安全局(Cybersecurity and Infrastructure Security Agency, 以下簡稱CISA)委託研究機構針對市場上的資通訊設備進行資安強度調查，結果顯示採用該公司P2P SDK的網路攝影機，若使用SDK 3.1.4以前的舊版本存在資訊安全漏洞，這些漏洞可能被未經授權的訪問擷取機敏訊息，CISA揭露此訊息後，TUTK也陸續收到不少產業人士及媒體的關注詢問。
 
關於這次CISA 發布的警示，TUTK 早於今年3月即收到CISA通知，也主動協助CISA釐清受影響範圍，並提出歷年的具體改善措施。實際上，報告中所提採用SDK 3.1.4以前的舊版本的產品已陸續於 2018 年停產，2019年起提供給客戶的SDK皆已升級為可確保安全性的 3.1.10 版本，經過近3年的持續升級及更新，TUTK現行發布的SDK，皆已提供更高的安全性以支持 DTLS 加密。
 
在該報告中有關技術調查結果的陳述固然屬實，但也坦承無法追蹤個別消費者的設備是否處於安全的環境。資訊設備的使用，必須仰賴硬體製造商對硬體規格可配合採用能夠進行韌體線上更新(OTA)的功能，並願意啟用DTLS，因部分硬體商礙於啟用DTLS可能降低建立連線的速度，因此對升級SDK版本有所遲疑；而在終端使用者方面，則須培養良好的使用習慣，例如於初始使用設備時必須變更密碼，以及接受硬體商或品牌業者建議進行韌體版本更新，才可避免將設備曝露在不安全的網路環境中。
 
TUTK已累積12年軟體開發經驗，對於CISA委託研究機構挑選其作為資安研究對象，TUTK表示肯定，因為截至今年5月份，由TUTK軟體授權的物聯網產品數量就高達8,300萬，其中超過8成為網路攝影機，不論新產品推出或營運動態皆會成為業界關注焦點。TUTK這次與國際大品牌如日商歐姆龍、日立、三菱，德商西門子、台廠研華科技等，同樣被CISA委託的研究機構挑選作為資安研究對象，代表該公司在物聯網業界的實質影響力不容小覷，但若僅以舊版本SDK作為測試標的，TUTK除了遺憾之外，對於研究結果則表示尊重。
 
TUTK表示，作為物聯網軟體端的解決方案提供者，不斷升級具安全性的軟體和雲端服務是其必然的責任，除了已連續取得國際 ISO 27001 資訊安全認證外，為了保障客戶及使用者的資料與隱私安全，更成立資安事件反應小組（PSIRT）負責處理相關的事件通報與回應。隨著5G與物聯網的蓬勃發展，各項裝置數量爆發成長，TUTK擁有快速、安全與穩定的連線品質，加上配合美國CISA最新的資安規定，預期可以帶領物聯網製造商、品牌業者順利進軍全球市場，對於整體產業的發展TUTK抱持樂觀看法。