美好未來下的資安隱憂

作者:邱述琛 -01/24/2018

幾乎全球的研究機構都預測IoT將持續以指數方式成長,萬物聯網時代即將來臨,看似一片看好的IoT產業是否就這樣展翅高飛,一帆風順呢?

國際知名資詢與研究組織Gartner在美國奧蘭多的ITxpo 2017論壇中,對2018與未來資訊科技的預測中提到:2020年新設計的電子產品中,運用IoT技術的比例將達到95%;但同時也提到,2022年將有50%的IoT安全預算,會用在錯誤的修補、產品的召回及安全失效相關領域,而不是安全防護。這樣不太協調的預測結果,也讓我們看到了IoT產業爆發成長下的網際安全隱憂!

從2016年開始,一些國際大廠、學術研究機構就共同提出了「工業物聯網安全框架」、美國國土安全部(DHS)也發表了「保護物聯網策略準則」,其中都將網際安全需求列為優先項目,產業界也都了解網際安全對IoT產業的重要性。那為會有這樣的預測呢?其實解析IoT的模組,至少包括了實體偵測資訊的感應模組、軟體運算的聚合模組、通訊傳輸模組、資訊處理模組及決策驅動模組,其複雜性超過一般人的想像。而IoT整體運作機制中的參與者則包括:元件製造商、系統開發商及使用者,而「信賴」則是IoT運作機制中最關鍵的成功要素。


圖1:IoT運作機制參與者示意圖(KPMG整理提供)

現在正處於IoT市場起飛階段,各家廠商無不摩拳擦掌,迫不及待的想切入市場取得領先地位,故常以推出產品或服務的「速度」為最優先考量,在大量運用敏捷式開發方式與整合一些既有套件情況下,網際安全需求或許無法完整考量,等到發現問題時,才悔不當初。這也可能是導致Gartner預測結果的原因之一。

如何兼顧未來IoT產業的魚與熊掌
未來IoT設備將大量運用於日常生活並滲透到每一個人週遭的日常生活環境,其蒐集到的巨量資訊,可以透過雲端平台、行動運算、人工智慧與機器學習等先進技術進行各項智慧應用,預期能帶來各項專屬與客製化服務的機會,更將創造巨大商機與價值。但若未能考量到安全與隱私的要求,業者除了可能因為違反法規遭到巨額罰款外,更可能因為失去客戶信任而被市場淘汰。

2016年國際電腦安全協會(ICSA Labs)即發表了號稱是全球首個針對物聯網裝置的安全測試專案,專案中準備測試IoT裝置的六大元件,包括:警報/記錄、加密、認證、通訊、實體安全性及平台安全性,通過認證的裝置將可取得ICSA Labs的標誌,而更重要的是,就算已取得認證,也必須在裝置生命週期內定期檢驗,以持續改善裝置的安全性。今年8月美國參議員也提出了物聯網網路安全改善法案(Internet of Things Cybersecurity Improvement Act of 2017)中,希望藉由聯邦政府的採購力量,讓製造商自主在IoT產品中建立包括:裝置提供漏洞修補機制、不得使用固定密碼及含有任何已知漏洞等基本網際安全措施。由此可以確信,未來的IoT產業勢必導入一些技術性的認證要求與資訊安全管理制度。目前國內已有極少數與IoT產業相關的公司已觀察到此一趨勢並取得ISO 27001驗證,此類採取前瞻思考的公司,非常可能在未來市場的角逐中建立起競爭優勢並取得先機!

[NextPage]面對IoT產業挑戰的教戰守則
IoT設備未來將大量應用於監控,故勢必面臨實體安全之風險;而設備安全性問題,更是一大考驗;最後是消費者心態,千萬不可只用價格作為採購物聯網設備的唯一標準,目前坊間有許多的白標產品,其實風險都非常高。IoT設備常見挑戰、建議及衝擊分析如下表:

表1:IoT設備常見挑戰、建議及衝擊分析表(KPMG整理提供)

KPMG網際安全團隊經過近年觀察域分析,建議國內IoT業者若想在這一波成長中脫穎而出成為市場領導者,就必須秉持著「言必信、行必果」的方針,說明如下: 
- 言:應明確訂出IoT產品/服務使用的安全基本標準,千萬不要一味追求速度而輕忽網際安全需求。
- 信:IoT產業參與者眾,整合介面多且複雜,應建立與上、下游業者的良好合作關係,方能有效建立使用者的信任。
- 行:組織全體同仁應建立共識,落實執行各項網際安全與隱私保護管控要求。 
- 果:慎選合作夥伴,共創IoT產業健全生態,方可分享未來之甜美成果。

在IoT產業起飛之際,廠商百家爭鳴,除了產業標準外,各國政府也開始在訂定各項法規,特別是涉及民眾隱私的保護,一旦而使用者面對眾多的選擇時,除了功能性、便利性、價格外,安全始終都是優先考量因素之一,業者應適當利用管理制度、導入技術管控並融入組織文化,才是成功的不二法門。

本文作者目前任職於KPMG數位科技安全(Cybersecurity)服務部協理