物聯網應用發展的腳步近年來加快,消費者、品牌商、製造商皆可能位於不同國家,在各地法令規範不同步之下,往往難以有一套放諸四海皆準的標準,可鑑別產品的安全度,讓消費者安心。
為此,優力國際安全認證(UL)正積極發展IoT Star Rating計畫,預期可協助ODM/OEM製造商,在品牌商提出要求之前,就已主動地具備嚴謹的安全防護措施,並且有能力出示證明,藉此提高競爭優勢。
優力國際安全認證身分識別管理安全部業務發展經理薛正指出,經過多起由物聯網裝置集結的殭屍網路襲擊事件後,各界都認同連網裝置安全控管的重要性,多數人甚至認為,針對連網裝置安全程度的量化,設備製造商應負起更多責任。
|
▲優力國際安全認證身分識別管理安全部業務發展經理薛正表示,UL正在積極發展IoT Star Rating計畫,預期可協助ODM/OEM製造商,主動地具備嚴謹的安全防護措施,藉此提高競爭優勢。 |
路由器與網路攝影機的安全性隱憂,在近年來國際間發生的重大事故中已證實其嚴重性,經典的案例即是2016年Mirai病毒感染網路攝影機、家用路由器等連網裝置,集結成殭屍網路發動有史以來規模最大的Tbps等級DDoS攻擊量,在歐美造成災難級大規模網路斷線。
物聯網安全性之所以如此脆弱,主要因素在於資安是個需要高度專業的領域,並且必須視應用場景規畫與建置,才能發揮功效。問題是在企業或組織中,資安的定義依據不同角色有不同觀點,例如網管人員關注的是防火牆等;韌體研發工程師,則關注C語言的緩衝區溢位;若是ISMS管理背景出身,可能著重通訊管道加密、機敏資料安全移除方法等。各種不同角色的工作者,對於資安的認知與應用需求皆不同,量化安全性的門檻不低,除非增添安全機制後能為消費者帶來安心,否則難以呈現出價值。
就現有的安全類國際標準來看,未必適用於所有設備。例如過去採購設備通常必須具備安全評估共通準則,此與物聯網裝置安全較相關,但未必適用於現代的連網裝置,畢竟產品設計可能尺寸小、單價低、數量龐大、須快速推向市場,不大可能花幾十萬美元、歷時一年半來取得安全評估共通準則。
為了因應連網裝置生命週期較短,必須在最快時間內推向市場,檢驗方式也須有所改變,UL正積極研擬出IoT Star Rating計畫,讓檢驗工作在幾個星期內即可完成,同時降低收費標準,以符合物聯網產業特性。
儘管UL 2900已被美國白宮的國家網路安全行動計畫(CNAP)公認為測試網路接入產品的標準,卻缺乏消費性或小型連網裝置的驗證規範。IoT Star Rating計畫即是為了補強此缺口。畢竟市售的眾多消費性電子設備,多數會認明歐盟的CE與美國UL認證標誌來判別,同樣的概念也可以套用在新興的物聯網裝置,IoT Star Rating計畫包含資安檢驗通過的標章,更能讓用戶方便識別、安心使用。