「物聯網」(Internet of Things, IoT)這個名詞在2005年就已經出現,相關的應用已經開始深入我們的生活之中。思科(Cisco)的科技專家Dave Evans估計,到了2020年,物聯網設備的數量將會增加到500億,除此之外,有九成的汽車會安裝聯網設備。
這些大量且廣泛的聯網設備裝置,代表未來將有更多的資料被蒐集與利用,思科的報告也預估到了2019年,全球資料流量將會到達24.3 Exabyte(百萬兆位元組)。聯網科技隨著使用的普及性及基礎設施的升級在加乘效應下捲起的浪潮可以想見。
然而在浪潮下的暗礁,不能不加以重視。其中有關資訊安全的疑慮,一直受到高度重視與廣泛討論。美國聯邦貿易委員會在2015年時曾經發出一份有關物聯網的報告,其中特別指出,物聯網資通訊設備或服務的使用,將引起許多資安上的風險,包括我們熟知的個人資料可能將受到濫用與竊取,缺乏資安防護的物聯網系統也容易遭受到駭客攻擊,進而產生設備使用上的安全風險。
舉例來說,駭客可以透過網路連結控制病人的胰島素幫浦(insulin pump),更改投藥的設定,讓病患無法得到所需的胰島素。
除此之外,駭客也可以透過網路連結,侵入具有聯網功能的汽車電子系統,藉此控制汽車的油門與煞車系統,完全不需要實體的接觸。
簡言之,資安風險不僅是數位資產或營業祕密的層級而已,更影響我們的生命、身體、健康、隱私等權利。
而物聯網設備所引起的資安風險,目前看來是高於一般家用電腦。主要的理由在於,雖然某些物聯網設備是精密製作而成,但是大部分的物聯網設備卻是價格低廉並且缺乏長期使用的設計,因此一旦發現物聯網設備在製造後被發現有安全上的弱點,就很難進行軟體的升級或是補強;有時候就算業者提供了可使用的軟體升級,消費者一般來說也不會接觸到相關訊息,也無法進行更新。
許多生產物聯網設備的公司,尤其是生產低廉的設備者,也可能因為缺乏經濟上的誘因來提供持續性的支援服務,或是軟體安全更新,讓消費者處在安全弱點的風險之中。
在萬物聯網的時代,資安風險的管理並無法用統一的方式進行規範,規管的程度也有所不同。
舉例來說,聯網LED燈與遠距醫療設備所面臨的資安風險與危害程度相差甚多,法規課以資安維護義務是否相同?容有討論空間。
我國目前為了因應日益提升的資安風險,已有行政院版的「資通安全管理法」草案送至立法院審查,主管機關希望能透過該法的施行,提高我國資安的相關管理能量。
不過僅僅就這部草案的規範對象,範圍的廣狹,即有爭論,除了公務機關外,非公務機關適用的對象僅限於關鍵基礎設施提供者(能源、交通運輸、金融、資通訊、醫療與緊急救援、高科技園區等)、公營事業、政府捐助的財團法人,至於之前倍受爭議的電子商務業者,則不在受管制的範圍內。
因此,若物聯網設備不屬於「資通安全管理法」的適用對象,這部草案的推動是否足以因應物聯網時代的資安風險?或是要適度納入業者自律的機制?將是未來要面臨的重要挑戰。