美好未來下的資安隱憂

圖1：IoT運作機制參與者示意圖（KPMG整理提供）

現在正處於IoT市場起飛階段，各家廠商無不摩拳擦掌，迫不及待的想切入市場取得領先地位，故常以推出產品或服務的「速度」為最優先考量，在大量運用敏捷式開發方式與整合一些既有套件情況下，網際安全需求或許無法完整考量，等到發現問題時，才悔不當初。這也可能是導致Gartner預測結果的原因之一。

如何兼顧未來IoT產業的魚與熊掌
未來IoT設備將大量運用於日常生活並滲透到每一個人週遭的日常生活環境，其蒐集到的巨量資訊，可以透過雲端平台、行動運算、人工智慧與機器學習等先進技術進行各項智慧應用，預期能帶來各項專屬與客製化服務的機會，更將創造巨大商機與價值。但若未能考量到安全與隱私的要求，業者除了可能因為違反法規遭到巨額罰款外，更可能因為失去客戶信任而被市場淘汰。

2016年國際電腦安全協會（ICSA Labs）即發表了號稱是全球首個針對物聯網裝置的安全測試專案，專案中準備測試IoT裝置的六大元件，包括：警報/記錄、加密、認證、通訊、實體安全性及平台安全性，通過認證的裝置將可取得ICSA Labs的標誌，而更重要的是，就算已取得認證，也必須在裝置生命週期內定期檢驗，以持續改善裝置的安全性。今年8月美國參議員也提出了物聯網網路安全改善法案（Internet of Things Cybersecurity Improvement Act of 2017)中，希望藉由聯邦政府的採購力量，讓製造商自主在IoT產品中建立包括：裝置提供漏洞修補機制、不得使用固定密碼及含有任何已知漏洞等基本網際安全措施。由此可以確信，未來的IoT產業勢必導入一些技術性的認證要求與資訊安全管理制度。目前國內已有極少數與IoT產業相關的公司已觀察到此一趨勢並取得ISO 27001驗證，此類採取前瞻思考的公司，非常可能在未來市場的角逐中建立起競爭優勢並取得先機！

面對IoT產業挑戰的教戰守則
IoT設備未來將大量應用於監控，故勢必面臨實體安全之風險；而設備安全性問題，更是一大考驗；最後是消費者心態，千萬不可只用價格作為採購物聯網設備的唯一標準，目前坊間有許多的白標產品，其實風險都非常高。IoT設備常見挑戰、建議及衝擊分析如下表：

表1：IoT設備常見挑戰、建議及衝擊分析表（KPMG整理提供）

KPMG網際安全團隊經過近年觀察域分析，建議國內IoT業者若想在這一波成長中脫穎而出成為市場領導者，就必須秉持著「言必信、行必果」的方針，說明如下： 
- 言：應明確訂出IoT產品/服務使用的安全基本標準，千萬不要一味追求速度而輕忽網際安全需求。
- 信：IoT產業參與者眾，整合介面多且複雜，應建立與上、下游業者的良好合作關係，方能有效建立使用者的信任。
- 行：組織全體同仁應建立共識，落實執行各項網際安全與隱私保護管控要求。 
- 果：慎選合作夥伴，共創IoT產業健全生態，方可分享未來之甜美成果。

在IoT產業起飛之際，廠商百家爭鳴，除了產業標準外，各國政府也開始在訂定各項法規，特別是涉及民眾隱私的保護，一旦而使用者面對眾多的選擇時，除了功能性、便利性、價格外，安全始終都是優先考量因素之一，業者應適當利用管理制度、導入技術管控並融入組織文化，才是成功的不二法門。

本文作者目前任職於KPMG數位科技安全（Cybersecurity）服務部協理