全球資通訊安全評估與測試專家Brightsight於2021年正式加入SGS旗下,除了Brightsight既有擅長的金融晶片卡、行動支付、支付終端設備、電子身份驗證等物聯網相關安全領域,SGS Brightsight亦擴展至汽車、醫療等認證與檢測範疇,並且在台北設立實驗室,就近服務本地企業。
SGS Brightsight亞洲區營運長張凱帆表示,SGS Brightsight實驗室因應產業需求將增添的新檢測項目,首先針對消費性物聯網裝置,將開發並執行消費性物聯網組件檢測服務。例如Arm推動的平台安全架構(PSA)、GlobalPlatform建立的物聯網平台安全評估標準(SESIP),以及最終產品符合歐洲電信標準協會(ETSI)提出的EN 303 645規範,以協助產品開發商達到合規性要求。
其次是醫療領域,SGS Brightsigh服務可協助醫療設備製造商的產品通過美國食品藥物管理局(FDA)、歐盟醫療器材法規(MDR)等不同地區規範。第三則是針對工業物聯網應用場域,協助工業零組件和設備製造商的產品通過ISO/IEC 62443-4-1與62443-4-2認證。第四個方向是汽車產業,可協助製造廠商的產品達到ISO 21434汽車網路安全標準,以及不同地區法規規範。
綜觀現階段物聯網安全面臨的挑戰,張凱帆歸納四大要點,即生態碎片化、缺乏強而有力的監管、保持安全、認證的持續性。他指出,全球上億個異質技術研發的裝置相互連結,首要須制定規範確保彼此之間得以溝通,例如連接標準聯盟(CSA)新發布的Matter通訊協定,可在乙太網路、Wi-Fi、Thread網路上傳輸。
當前全球政經情勢動盪,強權國家欲奪回主導權,各自制定產業規範準則,使得物聯網生態變得碎片化。像是歐盟無線電設備指令(RED)要求所有跟網際網路相連接的裝置,除了汽車、醫療、工業等專屬領域,其他裝置都得符合RED規範,並提出2024年8月強制執行。另外,聯合國歐洲經濟委員會(UNECE)提出R155車用資安標準,預計在2024年8月上路,製造商須盡早因應規範。
SGS Brightsight亞洲區營運長張凱帆提醒,物聯網安全規範與認證等級日趨嚴謹,基於安全的設計(Security by Design)來研發與製造產品,才有能力及時因應合規要求
「儘管強制規範尚未全面上路,SGS Brightsight實驗室已預先備妥檢測能力並重新建立整套流程,才能協助產品或服務供應商及早因應,掌握產品在應用場域中扮演的角色,進而基於安全的設計(Security by Design)來研發與製造產品,提升產品競爭力。」張凱帆說。
物聯網安全是整體組成元素的配合才可達成,特別是聯網裝置的韌體層,須建立軟體物料清單(SBOM)來加強軟體供應鏈安全,確保漏洞被揭露當下可有效地檢測。