物联网百花齐放 安全立法刻不容缓

作者:曾伯楷 来源:chinatimes

2019年物联网发展延续2018年热潮,从与AI、5G、云端的结合,到数字孪生、数据经济应用,乃至道德、安全、民主化的规范面等,更加聚焦于衍伸应用和安全基础的建立。若以政策法规、市场需求与技术发展作为观察指标,物联网在2019年持续多元发展,应用上更为实务落地,为厂商带来实质效益,也为城市带来防护的能耐。

近年大规模物联网网络攻击事件频传,各国逐渐由民间自主应对、转为官方立法防护,例如美国即将问世的《物联网设备安全测试准则》、欧盟预计于2019年通过的《数字安全法》、日本《通信事业法》修正等。厂商普遍对相关立法持正面态度,部分厂商也顺应趋势调整产品设计,让民众对物联网应用更具信心。

美国物联网安全 由政府衍伸至民间

美国2017年提出《创新发展与物联网法案》,研拟物联网主要程序架构和制定频谱,近年持续就物联网安全订定法规,例如针对政府部门采购物联网装置进行规范的《物联网网络安全促进法案》、由商务部建立机制并鼓励厂商对其物联网商品的安全和加密,进行分级卷标认证的《网络盾牌法案》,以及美国国家标准暨技术研究院提出的《网络安全框架》,与即将问世的《物联网设备安全测试准则》等。

日本修法 设备安全为厂商义务

随着物联网网络攻击事件此起彼落,美国政府决定以法规防堵安全疑虑,例如加州在2018年通过的《装置安全法》,相较于过往法规的鼓励性质,该法明文规定要求联网装置制造商必须设立合理的安全措施,且每个装置需配有1组独一无二的默认密码,或要求用户于第一次使用前设定新身份认证方式。

日本政府2018年底至2019年初,频频针对物联网安全修法,原因或与2018年韩国平昌冬奥开幕式遭某国黑客攻击,以及日本政府全力备战2020年东京奥运有关。主管机关总务省在2019年1月底对《电气通信事业法》进行修正,于2020年4月起要求联网终端设备须具有防非法登录功能,例如能切断外部控制、要求变更初期默认ID和密码、可时常更新软件等,且唯有满足标准、获得认定的设备才能在日本上市。此次电信法调整也要求当非法登录造成“3万用户超过12小时”或“100万用户超过2小时”故障时,营运商需将该故障视为重大事故向总务省呈报,违者将受到行政处分。

此外,日本自2019年2月底启动NOTICE计划,允许国立情报通信研究机构人员可于监督下,尝试以产品原厂密码和弱密码(例如123456或admin等)登入一般家庭的私人物联网设备,并把可登入名单交给相关网络服务商,提醒消费者保护该装置。

产业乐观其成 厘清规范细节

政策制定和法规颁布往往牵动厂商动态,包括成本是否垫高、标准是否国际互通等,而法规政策也会对一般大众造成影响,例如日本NOTICE计划公布后饱受社会抨击,认为政府试图登入私人物联网设备的行为,本质上与黑客无异,且搜集的数据与名单恐引起另一波网络犯罪和诈欺。

观察此次物联网相关安全法案规划过程和结果,虽已将影响范围从数字服务商扩大到产品制造厂,然安全是物联网发展的关键,唯有透过政府和厂商共同让民众建立信任感,方能支持后续的持续应用。相较于2018年中旬《加州隐私法》制定后,造成科技大厂抵抗和游说新法,多数厂商对物联网安全法规普遍持正面态度。

思科对美国国家标准暨技术研究院制定的网络安全框架,便认为其可为厂商提供一致标准,且协助辨识需管控的风险,也建议美国国家标准暨技术研究院发展隐私框架时,可大幅依循网络安全框架的制定原则,进而提高两框架的相互操作性和包容性,包含苹果、IBM、微软、赛门铁克与趋势科技等在内的商业软件联盟BSA,也鼓励成员就欧盟数字安全法草案展开相关产品、服务与流程的自我评估。

全球物联网安全法规虽陆续颁行,然部分内容尚持续补强中,对新法和现行计划的替代问题、法规依循顺序与未来认证计划的认可范围等,都是厂商未来适法调整重点。

业者呼应政策 针对源头设计

物联网安全法规透露政府的重视,相关细则持续发展中,但就原则而言,颇有数字隐私不仅是数字服务商的责任,甚至需要做到源头管理和装置需具备独一无二辨识性的意味,是以相关厂商也呼应政策进行产品调适,例如金雅拓Gemalto在2019年初发表新模块,将eSIM整合到Cinterion LTE-M IoT模块中,帮助AT&T用户强化物联网连接安全。

在制造过程中将SIM深度整合到模块,有助于提高耐用性、耐热性与耐振动能力,且eSIM可在物联网解决方案长期使用的过程中,透过简易更新持续加强安全性,同时内建防篡改机制,保护设备免受不断变化的网络安全威胁,设备制造商也无需部署自己的安全生产设施。此外,该模块亦可添加嵌入式安全芯片功能,将数据存放在高度安全的数据库中,仅限获得授权的应用程序和人员共享,提供额外安全保护。

达利思Thales的e-Security针对数据分析、数据收集储存、通讯网络物联网设备等3项物联网元素,发展个别安全对策,针对受保护的数据和系统,可限制为只有授权用户和设备能存取,为使装置能安全连接物联网,每个设备都需1个特有的辨识凭证,其发展的硬件安全模块nCipher HSM,在物联网设备的制造和运作中内建硬件信任根(Root of Trust),提供更安全的系统环境并支持防护应用程序,让制造商能使用加密处理、密钥保护与密钥管理,为每个设备提供独一无二的ID。

智慧城韧性应用 强化都市复原力

鉴于气候变化和自然灾害带来的影响日趋严重与未来的全球都市化趋势,许多国家在5G和物联网应用中,将韧性纳为重要议题。例如北京在2018年底成为中国首个将“韧性城市建设”纳入城市总规划的城市,带起一波旧房加固改造、新房风险防治的商业应用,高通也与智慧城市委员会合作,提供资金协助遭玛丽亚飓风重创的波多黎各,在智能交通与住宅、电信与IT基础设施等领域重点发展,为物联网于智慧城市未来发展聚焦新方向。

韧性衡量指标与架构

智慧城市韧性的提升,主要在强壮度和立即度,前者为当城市面对天灾、恐攻、社经、能源危机等不确定冲击时,将影响最小化的能力,后者则为状况发生后复原时间。

厂商动态与技术应用

国际间提倡城市韧性发展的机构中,以洛克菲勒基金会发起的非营利组织100韧性城市(100 Resilient Cities,100RC)最为知名。该组织以成员面临的挑战和方向,归纳出健康与福利、经济与社会、基础建设与环境与领导与策略等城市韧性架构,以更弹性、更坚强、更能整合等特质,作为城市解决相关议题的发展主轴。

1、急难防备 守护自然与人为资产

在100RC提出的韧性架构中,与物联网应用最相关的当属“基础建设与环境”,多聚焦于强化自然和人为资产。新创厂商如Jupiter和Coastal Risk等,透过传感器收集数据配合卫星数据及模型推导,将气候变化风险信息作为主要商品,提供百货、购物中心和高级住宅建商等,以利其规划地点、建材及因应措施。

此市场形成的背后原因,一方面在于物联网传感器的普遍应用,一方面也因气候异常,过往的历史天气模型已不具预估性,投资者需更新更实时的工具,才能评估对土地长期风险。

2、提升网络韧性 确保关键性服务

在提升韧性应用上,持续且可靠的信息交流、确保关键性服务的持续,相当重要,且与公共安全息息相关,例如美国急难救助网络管理局为了全面提升紧急通讯能力,打造专供初期应变人员使用的全国性无线宽带网络FirstNet,以保障警察、消防队员与紧急医疗人员等,在突发事件时能顺畅沟通,并透过公私合作伙伴机制,2017年委由AT&T进行网络建设。

由于公共安全灾防宽带网络能提供火灾、洪水与犯罪等现场实时图像,为后方决策者提供丰富准确的讯息,故为英国、澳洲与芬兰等国的重要政策,也成为物联网强化城市韧性的重要基础。

此外,系统和路况信息可提供到达灾难现场的最快路线。根据美国国家标准暨技术研究院公布的清单,2018年4月时仅有17款设备通过认证可于FirstNet使用,截至2019年2月已发展多达71款装置,苹果和三星等大品牌皆名列其中。

结语

官产携手法规化 不让物联网变危机

网络攻击事件影响范围和损害越趋扩大,物联网安全是所有垂直应用的重要基础,政府订定法规一定程度上也希望成为官方认证,如何让消费者对产品产生信任感,使Internet of Thing不致成为Internet of Threats,将是政府和厂商共同面临的课题。

因应未来法规和趋势,物联网装置相关厂商在产品设计时间,应加速导入隐私和数据保护技术,售后亦应提供定期远程漏洞维护和管理,借以达到双赢局面。

另一方面,在物联网安全防护完善前提下,智慧城市的广大商机将是厂商的兵家必争之地,随着气候异常和天然灾害频传,提升建筑、小区乃至城市韧性将如买保险般普遍,而与现代生活密不可分的网络通讯,以及面临灾害第一时间作出反应的应急准备,将是物联网可多元应用的领域。

本文转自:物联网百花齐放 安全立法刻不容缓

点击这里,获取更多IOT物联网设计信息

推荐阅读