美國電信商Verizon日前發布2017資料安全報告的案例中揭露,美國一所大學遭到分散式阻斷服務(DDoS)攻擊,追查來源後,發現校內約5,000個物聯網(IoT)裝置,包括路燈、自動販賣機等,竟然就是癱瘓校內網路的元兇。
進入物聯網時代,網路攝影機、路由器、聯網電視、聯網冰箱等IoT裝置,遭有心人士利用而成為資安犯罪幫兇,不再是天方夜譚。
為了提高企業對資訊安全的警覺,歐美也都研擬法案要重罰資安漏洞的企業,未來企業不僅面臨資安犯罪的贖金威脅,還有政府的罰金開鍘,再加上商譽受損,可謂是面子、裡子多重損失。資安問題已是迫在眉睫,刻不容緩。
台灣已有多家資通訊業者,因為產品缺乏妥適的資訊安全設計,遭到FTC(美國聯邦貿易委員會)告上法庭,要求禁止業者的不公平與欺騙行為,或是電商服務發生個資外洩事件,在爭議期間不只造成產品可能無法繼續銷售,更對品牌商譽帶來難以計算的無形損失。
即使只是建置內部網路的智慧工廠,或是只在國內提供產品及服務的業者,只要有任何裝置連上網路,就有機會成為駭客目標。
例如伊朗的核電廠曾暴露在資安風險下,就是因為維修工程師帶著筆記型電腦進廠維修;或去年的ATM自動吐鈔事件,顯示任何裝置只要能連上網路,就會暴露在資安風險的環境中,尤其在萬物聯網的時代,更是必須將物聯網資訊安全,列入企業生存的重大議題。
防範於未然,將資安威脅的風險降至最低,最有效做法是從源頭開始。將資安列為重點且考慮周詳的設計是產品成敗的重要關鍵;將資安設計融入產品開發生命周期中,可避免未來許多因設計不周所帶來的資安事件所造成的損失。
物聯網時代,從感測層、網路層到平台層,每一個層次都有各種硬體與軟體,必須視最終應用的用途來衡量風險指數,決定將資訊安全保護做到何種層級,更要將「資訊安全」納入設計階段思考,以避免「補破網」的窘境。
例如,有些物聯網的感測裝置被侵入後的危害不大,裝置本身只以軟體保護,另外從閘道器層次再增加多重保護;但若是植入人體的生理訊號晶片,一旦被駭可能危及使用者的心率、電波調校狀況等,更需要防範嚴密,從感測器的硬體就要使用加密晶片,從硬體、軟體各個層級都要保護。
資策會資安科技研究所現已與電信技術中心、及交大實驗室等聯盟合作,預計於下半年將提供智慧聯網設備廠商,相關IoT資訊安全檢測服務,協助檢測包括:網路攝影機(IP Cam)等日益普及的物聯網裝置,提供國內業者專業的資安顧問服務、診斷出潛在的資安威脅。
為了串聯政府、法人、企業與消費者的資源與需求,消基會、資安所也會在本月底合辦「建構信賴、安全的數位消費環境」資安論壇,從資安願景的擘畫、政府的資安作為、消費者保護的企業資安作為等各層面,探討政府、企業資訊安全責任與資安管理作法。
美國消費者調查已經開始將「資訊安全」列入洗衣機等消費性電子產品的評比項目,未來聯網產品增加,資訊安全更將成為企業存亡關鍵的核心競爭力。