在政府政策方面,行政院資通安全處處長簡宏偉指出,近期發現惡意攻擊者不斷地變換手法,改採迂迴攻擊模式,先行滲透政府機關的委外供應商,並以其為跳板用以間接入侵政府機構,故強化委外供應鏈風險管理已成為當前首要工作。特別是進入到5G世代後,各類資通訊相關設備安全性益顯重要。2021年行政院國家資通安全會報提出的「第六期資通安全發展方案」已正式通過,在輔導企業強化數位轉型之資安防護能量中,供應鏈安全管理範疇涵蓋研發晶片資安檢測工具,以解決晶片潛藏資安風險問題;此外成立國際認可晶片資安檢測實驗室,加速物聯網(IoT)資安方案落地與商用化,同時參考國際標準,推動具備國際競爭力的解決方案,減少台灣製造產品外銷的資安合規性障礙。
實驗室引進國際準則 助外銷產品驗證
現代人的生活、工作皆高度仰賴電子產品,潛在的威脅卻容易被忽視,往往未必是遭到惡意駭客攻擊,就連欠缺資安意識導致的人為疏失,同樣也會影響人們正常生活與工作。
台灣資通產業標準協會秘書長周勝鄰指出,資安威脅本就防不勝防,即便是手機App也可能在背景執行洩漏個資。因此探討資安議題不僅是要防範惡意攻擊,同時也得提高保護個人隱私的意識,在連網裝置與設備設計初期就納入整體防護思維。相關判斷與認證的標準,各國已陸續積極制定,例如美國國防部計畫從2026年開始要求競標的承包商須通過網路安全成熟度模型認證(CMMC)。
實際上,周勝鄰觀察,歐盟制定網路安全法(Cybersecurity Act)可說是全球首例,為數位產品、服務與流程建立安全認證框架,並且於2020年開始要求所有歐洲國家部署的資通訊設備,必須取得歐盟網路安全機構(ENISA)驗證。基於歐洲網路安全驗證(EUCC)計畫的通用準則,並根據ISO/IEC 15408和通用準則(Common Criteria,CC),允許對資通訊產品進行驗證。接下來還會再針對雲端、醫療等垂直領域的數位化產品、服務與流程,制定相關驗證計畫,讓產業得以有所遵循。
反觀台灣產業,主要是由工業局、國家通訊傳播委員會(NCC)等機關擬定規範,授權由台灣產業資通標準協會依循主管機關規範驗證,提出物聯網資安認驗證制度、影像監控系統資安標準測試規範等認驗證標章,讓導入部署的企業或組織可清楚辨識安全性。面對歐美國家相繼制定認證規範,未來台灣實驗室亦可爭取引進國際標準規範的能量,幫助本土業者預先測試以加速取得國際認證的進程。
守護未來移動安全:智慧交通新思維
雲端運算、巨量資料、物聯網應用趨勢引領社會經濟邁向智慧化世代,使得人工智慧(AI)與物聯網成為了各產業皆積極推展的重點。資策會智慧系統研究所代所長蒙以亨指出,預計2024年全球將有390億個聯網終端,產生57.3ZB(Zettabyte)的資料,多數來源為監控、工業、車用、醫療等應用場域。其中交通運輸場域,涉及了資訊與人身安全,畢竟新興數位技術運用到交通領域,勢必得更加嚴謹,例如新車款必備的先進駕駛輔助系統(ADAS),連接網路便於傳遞資料,但也增加了資安風險。
從智慧交通資安攻防來看,惡意駭客最終企圖取得汽車的控制權,而由於智慧駕駛車輛的崛起,衍生出更多樣的智慧功能與後端運行系統,勢必有更多全新漏洞可以發掘利用。例如日前全球電動汽車龍頭特斯拉(Tesla)爆發App因故當機,導致美國、歐洲、亞洲等地區的客戶無法操控車輛,假設該App是遭惡意駭客滲透入侵取得控制權,風險範疇將直接危及人身安全,勢必得較其他領域的AIoT應用,更嚴謹看待安全性議題。
蒙以亨進一步說明,國際間對於車輛網路安全的要求已然成形,可據以分析威脅以及評估風險。國際標準化組織(ISO)與國際汽車工程師學會(SAE)所發展的ISO/SAE 21434,以及聯合國歐洲經濟委員會(UNECE)的世界車輛法規協調論壇(WP29)頒布了ECE R155網路安全管理系統法規,透過設計來減輕智慧車應用風險性;此外還有ECE R156,是針對導航圖資、多媒體等應用軟體更新與管理的法規。
ISO/SAE 21434發展歷程主要基於車用電子設備商熟知的ISO 26262道路車輛功能安全,針對汽車電子電氣系統定義車用設備的機能安全,解決車輛內系統誤操作帶來的危害。
至於國內目前智慧交通資安的方案,自2017年迄今,已完成9項資安產業標準,包含市面上已有的車載資通訊系統、智慧路燈、影像監控系統、空氣品質感測裝置等,針對智慧駕駛車輛感測資料的標準,也預計稍晚將通過。蒙以亨認為,智慧交通裝置於開發、設計、生產及售後階段,整體的資安標準與驗證機制,仍必須持續不斷強化。
對於台灣正在積極發展的智慧交通,蒙以亨提醒,或可參考國際標準,研擬國內智慧交通資安準則,讓相關製造廠商可資依循,並且建構檢測體系與標章,讓智慧交通資安環境得以更加精進。
後疫情時代重建對物聯網信任
以保護物聯網應用場域安全為使命的物聯網安全基金會(IoT Security Foundation,IoTSF),自2015年成立以來,不僅提出防護框架讓產業參考,近來更積極推動合作計畫,廣納有志之士免費參與推廣。
物聯網安全基金會董事總經理John Moor指出,物聯網安全涉及的層面相當多,目前市場上看到的連網裝置產品與服務,蘊藏著巨大商機,應用需求幾乎涵蓋了所有工商業和民用市場,尤其是COVID-19疫情促使連網裝置需求攀升,擴大居家辦公、遠距照護等應用領域,攻擊面亦隨之擴大,企業必須正視物聯網安全議題。
IoTSF成立初期的焦點偏重於交通號誌、嬰兒監視器、路由器和胰島素幫浦等連網裝置,隨著每年爆發的攻擊事件不減反增,關注範圍逐漸擴大。Moor呼籲企業與組織必須採取行動,才能免於遭挖礦劫持、勒索軟體感染、成為殭屍電腦成員,甚至是物聯網更為重視的利用跨來源資源共享(CORS)等新進手法,最終造成關鍵基礎設施樞紐遭遇攻擊。
IoTSF於2016年12月發布物聯網安全保證框架1.0版,幫助應用場域制定安全目標,近期剛發布了3.0版的框架,涵蓋範疇從設計到製造、上線運行、漏洞更新處理等,橫跨不同團隊與商業流程,更加明確定義了技術方面的目標、供應鏈管理事項,以確保完整掌握應用流程,且能針對潛在風險環節實施基本防護,同時詳加記錄連網裝置活動,持續改善風險控管措施。
為了解決物聯網應用場域面臨的安全性挑戰,Moor認為,介於雲端與應用場域之間的節點,也就是資安閘道器,不僅可保護既有網路環境,亦相當適合引進AI的力量,以智慧方法來自動偵測物聯網環境,並在發現威脅時觸發緩解措施。目前IoTSF正在推動「ManySecured」合作計畫,旨在提供邊緣端閘道器或路由器更進階的安全機制,其核心成員還包括牛津大學、思科和專注於發展人工智慧的Nquiringminds。目前正在計畫制定階段,聚焦於為邊緣端增添網路流量監控與管理、自動修復漏洞等功能,Moor強調,「歡迎製造商、營運商等領域專家加入ManySecured計畫,從IoTSF官網、無需付費就可加入,一同來定義開放的技術規範,並構建AI協同網路願景。」