安全

美好未来下的安全隐忧

字号+ 作者:邱述琛 来源:informationsecurity 2018-01-25 22:30

几乎全球的研究机构都预测物联网将持续以指数方式成长,万物联网时代即将来临,看似一片看好的物联网产业是否就这样展翅高飞,一帆风顺呢?


图片来源:
https://pxhere.com/zh/photo/27066
 
几乎全球的研究机构都预测物联网将持续以指数方式成长,万物联网时代即将来临,看似一片看好的物联网产业是否就这样展翅高飞,一帆风顺呢?
 
国际知名资询与研究组织Gartner在美国奥兰多的ITxpo 2017论坛中,对2018与未来信息科技的预测中提到:2020年新设计的电子产品中,运用物联网技术的比例将达到95%;但同时也提到,2022年将有50%的物联网安全预算,会用在错误的修补、产品的召回及安全失效相关领域,而不是安全防护。这样不太协调的预测结果,也让我们看到了物联网产业爆发成长下的网际安全隐忧!
 
从2016年开始,一些国际大厂、学术研究机构就共同提出了“工业物联网安全框架”、美国国土安全部(DHS)也发表了“保护物联网策略准则”,其中都将网际安全需求列为优先项目,产业界也都了解网际安全对物联网产业的重要性。那为会有这样的预测呢?其实解析物联网的模块,至少包括了实体侦测信息的感应模块、软件运算的聚合模块、通讯传输模块、信息处理模块及决策驱动模块,其复杂性超过一般人的想象。而物联网整体运作机制中的参与者则包括:组件制造商、系统开发商及用户,而“信赖”则是物联网运作机制中最关键的成功要素。
 
现在正处于物联网市场起飞阶段,各家厂商无不摩拳擦掌,迫不及待的想切入市场取得领先地位,故常以推出产品或服务的“速度”为最优先考虑,在大量运用敏捷式开发方式与整合一些既有套件情况下,网际安全需求或许无法完整考虑,等到发现问题时,才悔不当初。这也可能是导致Gartner预测结果的原因之一。
 
如何兼顾未来物联网产业的鱼与熊掌
 
未来物联网设备将大量运用于日常生活并渗透到每一个人周遭的日常生活环境,其搜集到的巨量信息,可以透过云端平台、移动运算、人工智能机器学习等先进技术进行各项智能应用,预期能带来各项专属与客制化服务的机会,更将创造巨大商机与价值。但若未能考虑到安全与隐私的要求,业者除了可能因为违反法规遭到巨额罚款外,更可能因为失去客户信任而被市场淘汰。
 
2016年国际计算机安全协会(ICSA Labs)即发表了号称是全球首个针对物联网装置的安全测试项目,项目中准备测试物联网装置的六大组件,包括:警报/记录、加密、认证、通讯、实体安全性及平台安全性,通过认证的装置将可取得ICSA Labs的标志,而更重要的是,就算已取得认证,也必须在装置生命周期内定期检验,以持续改善装置的安全性。今年8月美国参议员也提出了物联网网络安全改善法案(Internet of Things Cybersecurity Improvement Act of 2017)中,希望借助联邦政府的采购力量,让制造商自主在物联网产品中建立包括:装置提供漏洞修补机制、不得使用固定密码及含有任何已知漏洞等基本网际安全措施。由此可以确信,未来的物联网产业势必导入一些技术性的认证要求与信息安全管理制度。目前国内已有极少数与物联网产业相关的公司已观察到此一趋势并取得ISO 27001验证,此类采取前瞻思考的公司,非常可能在未来市场的角逐中建立起竞争优势并取得先机!
 
面对物联网产业挑战的教战守则

物联网设备未来将大量应用于监控,故势必面临实体安全之风险;而设备安全性问题,更是一大考验;最后是消费者心态,千万不可只用价格作为采购物联网设备的唯一标准,目前坊间有许多的白标产品,其实风险都非常高。物联网设备常见挑战、建议及冲击分析如下表:
 

 
KPMG网际安全团队经过近年观察域分析,建议物联网业者若想在这一波成长中脱颖而出成为市场领导者,就必须秉持着「言必信、行必果」的方针,说明如下:
 
- 言:应明确订出物联网产品/服务使用的安全基本标准,千万不要一味追求速度而轻忽网际安全需求。
 
- 信:物联网产业参与者众,整合接口多且复杂,应建立与上、下游业者的良好合作关系,方能有效建立使用者的信任。
 
- 行:组织全体同仁应建立共识,落实执行各项网际安全与隐私保护管控要求。
 
- 果:慎选合作伙伴,共创物联网产业健全生态,方可分享未来之甜美成果。
 
在物联网产业起飞之际,厂商百家争鸣,除了产业标准外,各国政府也开始在订定各项法规,特别是涉及民众隐私的保护,一旦而使用者面对众多的选择时,除了功能性、便利性、价格外,安全始终都是优先考虑因素之一,业者应适当利用管理制度、导入技术管控并融入组织文化,才是成功的不二法门。









相关文章
  • 工业物联网安全性设计师指南

    工业物联网安全性设计师指南

    2018-10-08 19:01

  • 不论物联网还是边缘计算,安全皆为首要

    不论物联网还是边缘计算,安全皆为首要

    2018-10-05 21:52

  • 为什么咖啡机需要自己的账户?

    为什么咖啡机需要自己的账户?

    2018-10-03 23:12

  • DDOS攻击:物联网的警钟

    DDOS攻击:物联网的警钟

    2018-09-30 01:11