《會計師看時事》物聯網拚資安 要內外兼容

隨著行動裝置與無線基礎設施的普及與發展，以及感測技術、無線通訊、雲端運算和數據分析等科技結合下，讓萬物互聯的概念成為真實。

物聯網帶來了資訊溝通的概念，不僅人跟人之間可透過網路相互聯繫，人和物件、物件與物件之間也可以透過網路進行溝通。

惟享受物聯網所帶來連網便利性的同時，也悄悄的開啟了駭客攻擊的大門，藉此入侵企業及家庭網路竊取敏感性資料、操控設備來發動大規模的分散式阻斷服務攻擊，使物聯網設備不知不覺成為資安犯罪的幫兇，是企業未來必須重視的關鍵議題。

物聯網技術經過多年研究與發展，已從概念走向實際落地，卻也產生層出不窮的資安事件。

2016年某美國資安公司指出，在調查珠寶商網站遭DDoS阻斷服務攻擊時發現，攻擊來自駭客掌握的2.5萬個監控攝影機組成的殭屍網路大軍，其中24%來自台灣。

2017年有南韓研究人員發現某知名品牌路由器韌體，存在多個潛在洩漏隱私的漏洞，駭客可藉此進行攻擊。

近年來全球物聯網資安事件頻傳，有鑑於此，國內通傳會及經濟部致力推動物聯網資安產業標準，建立我國物聯網設備之資安防護能量，促進國內產業整體優質化並提升產品競爭力，確保消費者使用物聯網設備的資訊安全。

近幾年來，許多國際大廠所出產的路由器等通訊設備，因為被揭露存在嚴重安全性漏洞，而遭到美國聯邦貿易委員會(FTC)開出鉅額裁罰，因此建議資訊設備製造商應該在物聯網設備研發階段，就實施必要的物聯網設備資訊安全檢測作業。

為了確保檢測的品質及報告的公信力，建議應洽詢具備國際ISO 17025的資安檢測實驗機構進行送檢。

物聯網設備遍布在我們生活周遭環境與應用，面對萬物皆可駭的時代，無論是企業或一般使用者，都應及早做好準備，才能及時因應或避免資安事件發生；而設備製造商也更應該重視設備元件等資安議題所帶來之嚴重性，於產品研發過程中能將資訊安全觀念有效進行結合，以達到始於安全之設計理念(Security by design)，並讓設備製造商，系統服務商與系統整合商在設備採用方面均有一安全標準，以持續強化整體產業之資訊安全。

同時物聯網與過往資訊服務架構有顯著性差異，在此環境下既有的資安控管機制已不適用。企業於規劃物聯網智慧化應用時，首要之道是需「縱向」追溯並建立平台與基礎建設的安全框架；其次，也應「橫向」管理跨領域整合資訊服務所產生的風險，藉以打造「內外兼容」的全方位物聯網數位安全策略。

（本文已刊登於 2018-07-20 經濟日報 B5 經營管理版）