議題觀點
物聯網發展趨勢及因應
勤業眾信風險管理諮詢 (股) 公司 / 吳志洋執行副總經理、林冠伭協理、賴柏丞顧問
「萬物皆可連」這一概念早在於1995年,由微軟創辦人比爾蓋茲在《未來之路》一書中述說了他對智慧生活的狂想,這一想法成為物聯網概念的濫觴。但對於當時而言,技術價格相較昂貴,物聯網一直都是「只聞樓梯響,不見人下來」,並沒有在生活與工業中有任何顯卓的成績,直到智慧型行動裝置的崛起,才真正為物聯網拉開了序幕。隨著網際網路的發展、wifi的普遍性,無論是金融業、製造業、農業、醫療業,甚至是家庭,物聯網早已悄悄地進入我們的生活圈,且讓萬物皆可連成為了現實。雖然物聯網可以為公司更有效率的掌握即時資訊,卻也成為駭客所針對的目標,透過入侵物聯網裝置竊取企業敏感性文件、甚至是遠端遙控設備來造成大規模的恐怖攻擊,即便這並非是物聯網開發的目的,但卻因為有心人士的利用,而讓物聯網成為了資安犯罪最有利的幫手。 《玩命關頭8》中的殭屍車就是物聯網最佳的體現,劇中網路恐怖份子賽芙透過衛星控制方圓兩英里的上千部車子自動駕駛,甚至讓汽車自己從停車場墜落。在現今物聯網與科技起飛的時代,如同電影般的情節並非是天方夜譚,駭客僅需要透過遙控箱入侵城市交通系統,就能做到如《玩命關頭8》中的「天眼」般控制各路口的監視器、ATM的監視錄像頭等系統,進而達到辨識人臉,引發恐怖攻擊。2016年9月Mirai殭屍網路帶給了全球的網路數起DDoS事件,其中最具代表性的事件為德國電信,Mirai殭屍網路的入侵導致90萬台家用路由器,並導致德國電信大量的用戶無法正常使用服務。Mirai殭屍網路主要攻擊目標即是物聯網裝置,以滲透無線攝影機、路由器與監視器等非傳統式運算裝置的方式,盜取非公開之資訊。 種種資安事件再再表明,各家廠商應須更加重視物聯網產品的安全,並且在物聯網裝置設計的階段就應將各種資安問題納入考量,制定完善的更新以及管理漏洞機制。廠商於製造物聯網裝置時,應測試物聯網裝置6大元件的安全性,包括警報 / log機制、加密、認證、實體安全以及通訊平台間的安全性,以利於建立產品安全機制,進而達到物聯網產品的透明化。面對岌岌可危的物聯網危機,各國紛紛題列出了對應的政策,美國提出了《物聯網安全策略準則》,呼籲在物聯網裝置階段就應考量資訊可能所面臨的非法存取,並改善安全更新與漏洞管理機制等,確保物聯網的產品到導入都能有完善的安全性,由於大眾對於各項聯網活動,例如:汽車自動駕駛,其依賴度已經超出安全範圍,因此物聯網安全成為了國家安全的重要議題。歐盟成立了物聯網創新聯盟(AIOTI),加強歐洲物聯網參與者之間的活動,將物聯網安全視為推動物聯網產業推動的重要關鍵,以制定「物聯網信任標章」與「物聯網特許制」的方式,約束只有符合安全標準者才可推出產品。台灣參照ISO2701資安標準提出了「物聯網設備資安驗證政策」,針對物聯網設備,例如:網路攝像頭、智慧型產品,甚至是智慧電冰箱,制定相關資安標準、測試規範、技術指引以及認驗證制度,以達到在安裝物聯網設備初期,建立最完善的資訊環境。 工業物聯網的時代已經來臨,伴隨的資訊安全也成為一個極為重要的風險因素,無論是企業或是一般使用者,都應盡早做好準備,以因應各種突發狀況或攻擊,而企業內部之資安、稽核單位也需因應物聯網的來臨提早規劃對應的政策。勤業眾信的專業團隊以全方位的角度及專業的技術提供完善的物聯網安全規劃諮詢的服務,服務內容包含安裝設備之安全架構的評估、定期性針對物聯網設備進行弱點掃描與相關測試的作業、物聯網裝置上線後針對資訊環境進行查核作業等。物聯網的應用已是趨勢之所在,也是許多國家的重點發展目標,雖物聯網的應用尚在發展的初期,但企業使用者應持續關注標準制度以及相關的法規之發展,並依已發生的案例作為參考依據,以利於各家企業在物聯網上的發展。
Reference https://www.ithome.com.tw/news/111220 http://www.chinatimes.com/realtimenews/20160420004566-260408 |