在數位轉型的浪潮下,區塊鏈、物聯網(IoT)、人工智慧與機器學習等新興趨勢,幾乎成了各行各業當前重要的發展主軸。台灣身為全球製造重鎮,半導體、晶片設計、連網裝置等具競爭優勢的科技業,正積極地佈局物聯網應用需求,在數位化時代中站穩腳步,而安全性更是其中的關鍵議題。
市場上已有許多晶片廠商可提供相關技術,並且已取得FIPS 140-2(ISO/IEC 19790)、Common criteria(ISO/IEC 15408)國際標準認證。假設連網裝置會產生高機敏性的資料,除了應用層建立保護措施以外,勢必得搭載安全晶片,才得以達到完整地保護。
連網裝置安全驗證樹立顧客安心品質
以往廠商生產製造的產品通常是為了符合傳統安規必須送交檢驗。優力國際安全認證(UL)身分識別管理安全部業務發展經理薛正觀察,如今的資安議題挑戰相當大,就算通過驗證,可能在短時間內隨即不再適用,例如在設備中搭載國際知名的SSL安全模組,卻在出貨後被揭露發現漏洞。因此必須持續不斷地監控與更新,確保安全等級隨著應用發展、駭客手法改變而進化,否則安全水平勢必衰退,讓營運風險失去控制。
安全等級愈高,評估時間愈長,較適合企業營運導入建置的設備。
至於消費性市場上的連網裝置,能接受認證費用的程度較低,因為使用場景的不同,例如政府單位相當注重共通準則(Common Criteria),但是營運環境則未必。畢竟驗證費用可能需高達50萬美元,歷時一年半時間,明顯地不適用於低價位的IoT設備。
至於UL 2900的風險控管程度較為彈性,卻也未必適用於多數的連網裝置,儘管目前在業界較多應用於網路攝影機,但是針對智慧家電等更廣泛的範疇,則不見得適用。薛正指出,現階段市場上可見的是AVS(Amazon Voice Service)與UL IoT Star Rating計畫。AVS是由Amazon所提出,列出安全性需求,整合Alexa語音服務的供應商必須遵循,目前UL即為其全球授權實驗室夥伴之一;IoT Star Rating則是由UL所提出的新計畫。
市售的眾多消費性電子設備,使用者根本難以判斷安全度,優力國際安全認證提出IoT Star Rating計畫的理念,目標並非為打造滴水不漏的安全連網裝置,較偏向是基本資安能力的認證,讓消費者得以有簡單的方式鑑別安全等級。
畢竟資安相當複雜又難以達到全面性,技術能力再強大的廠商也無法保證百分之百不會遭受攻擊,IoT Star Rating計畫可以證明的是有能力排除已知型漏洞攻擊手法。事實上,物聯網集結的龐大殭屍網路,往往並非攻擊者擁有強大的技術能力,大多數是利用諸如連網設備出廠預設登入帳密進行控制,抑或是前端操作介面設計不良進行滲透,只要排除這些基本弱點,就有機會控制住八成以上的連網裝置資安風險。
以往的安全性認證制度須投入的金額較高,對於物聯網產品來說過於不切實際,因此降低服務價格,讓多數的製造商得以負擔,同時驗證時間縮短到以星期為單位,以提升IoT Star Rating計畫的接受度。經過驗證通過後,在產品外觀上會有明顯可見的標誌,藉此讓消費者目視即可識別。
「從我接觸客戶的經驗,台灣有許多ODM/OEM製造商已有投入建立安全性措施,遭遇到的困境並非功能性問題,而是沒有公信力的認可。」薛正強調。IoT Star Rating計畫中提出的安全規範涵蓋多個層面,例如軟體安全性更新,必須經過程式碼檢驗,以及避免明碼傳輸,防止被攻擊者攔截封包後植入木馬程式,進而操控連網裝置。裝置上若存放的資料具機密性,必須予以加密。制定諸如此類的檢驗規範,期能藉此協助ODM/OEM製造商,有能力證明產品設計已具備嚴謹的安全防護措施,來提高市場競爭優勢。