新聞稿
勤業眾信打造全方位資安檢測實驗室
增項取得物聯網資安認證 迎戰2025年550億台裝置需求
【2018/08/07,台北訊】勤業眾信聯合會計師事務所今(7)宣布,「勤業眾信資安科技暨鑑識分析中心」再度以零缺失通過的專業資格,取得ISO 17025「物聯網裝置資安檢測」增項認證,成為繼取得數位鑑識、行動應用App資安檢測認證後,全臺灣唯一將物聯網設備、嵌入式系統與應用程式檢測,納入資安檢測範圍的全方位實驗室。
勤業眾信聯合會計師事務所總裁賴冠仲指出,物聯網結合感測技術、無線通訊、雲端運算和數據分析等科技,讓萬物互聯的想像成為真實。有鑑於近年來物聯網資安事件頻傳,國家通訊傳播委員會及經濟部亦正積極推動物聯網資安產業標準,致力於提升防護能量。賴冠仲強調,臺灣具備ICT產業優勢,因此在高速發展物聯網應用的同時,更須重視潛在的資安危機,避免智慧生活成為人身安全的威脅。勤業眾信的資安科技暨鑑識分析中心可提供全方位的物聯網設備資安檢測服務,除了協助企業評估潛在風險與弱點改善諮詢,亦可出具國際認可的檢測報告,強化物聯網安全監控的每一環節,持續為企業、為社會的資安防護把關。
財團法人全國認證基金會董事長王聰麟表示,勤業眾信聯合會計師事務所資安科技暨鑑識分析中心通過本次增列認證成為符合國際ISO/IEC 17025規範的資安檢測實驗室,並成為將物聯網設備、嵌入式系統、應用程式全方位納入資安檢測認證範圍之實驗室,除了提供符合主管機關及國際標準要求之物聯網資安檢測分析機制,也顯見管理與技術水準已經與國際並駕齊驅,提升其檢測公信力,透過此次參與完成品質與技術各項文件之建立,持續維持各項技術之能力,並致力於提升檢測品質水準,可預期未來能更有效協助企業預先防範資安事件,有助於維持社會金融秩序。
勤業眾信聯合會計師事務所風險諮詢服務部營運長吳佳翰指出,勤業眾信參考美國國家標準暨技術研究院發佈之「資訊安全測試與評估指引」(NIST SP800-115 - Technical Guide to Information Security Testing and Assessment)與「開放網站應用程式安全專案組織發佈之物聯網測試指引」(OWASP IoT Testing Guides)等國際最佳實務參考指引,擬定物聯網設備安全框架,就「網頁安全、作業系統安全、網路服務安全、通訊安全、硬體/韌體安全及密碼管理安全」六大面向,全面提升物聯網設備及嵌入式系統整體安全。
吳佳翰表示,受限於硬體設備和既有的網路架構,物聯網裝置難以建置縝密的防火牆系統與安全機制;同時,全時連網的特性,使其曝露於各類資安威脅中,成為駭客攻擊目標。而隨著網路資源多元化,不熟悉技術的駭客也能藉由網路公開惡意軟體,攻擊已知存在弱點,於物聯網裝置植入殭屍病毒。吳佳翰提醒,企業應就物聯網裝置強化安全控管,以避免「萬物皆聯網」演成為「萬物皆可駭」的局面。
勤業眾信聯合會計師事務所風險諮詢服務部副總經理林彥良表示,根據國際權威機構BI Intelligence研究報告結果,物聯網裝置將由2017年的90億台,成長為2025年550億台的規模,市場預估物聯網將於此八年期間內,累積超過15兆美金的投資金額,發展前景備受關注。不過,聚焦物聯網裝置令人驚豔的成長率時,也應關注龐大的市場規模與新興科技架構特性,將帶來潛在的資安威脅。
林彥良進一步表示,2017年廣為全球知曉的分散式阻斷服務攻擊(DDoS)及物聯網裝置隱私資料外洩事件層出不窮,2018年類似情境的資安風險亦將逐漸浮上檯面,主要原因在於,物聯網與過往資訊服務架構有顯著性差異,在此環境下既有的資安控管機制已不適用。
林彥良建議,企業規畫物聯網智慧化應用時,首要之道是需「縱向」追溯並建立平台與基礎建設的安全框架;其次,也應「橫向」管理跨領域整合資訊服務所產生的風險;最後,須即時關注法規與政策環境,藉以打造「內外兼容」的全方位物聯網數位安全策略。