隨著5G、人工智慧(AI)、區塊鏈等技術不斷演進,催化智慧工廠、電動車、智慧醫療、智慧電網,甚至是元宇宙(Metaverse)發展熱潮,都使得物聯網應用普及度更高,控管資安風險已成為聯網數位化轉型中不可輕忽的關鍵。
以車用資安來看,鴻海研究院資通安全研究所組長陳煜弦(圖1)指出,台灣曾真實發生過特斯拉駕駛因開啟全自動模式而撞上原本已經翻倒的貨櫃車,顯示人工智慧模型無法準確地辨識前方路面有障礙物,且自動駕駛車輛內建資訊系統潛在的弱點足以造成嚴重傷害。另一起實際案例是發生在加拿大,特斯拉的車子不明原因燃燒,但是駕駛無法開啟車門,最後是打破車窗才逃過此劫。由陸續發生的事故來看,電動車的資訊系統仍有改善錯誤空間,但是全球已有幾百萬人駕駛,萬一遭惡意人士鎖定發動網路攻擊,恐造成人命損失。
圖1 鴻海研究院資通安全研究所組長陳煜弦指出,EVπ為攜手美國麻省理工學院(MIT)與北科大共同打造,相容於MIH架構的資安驗證平台,可真實模擬電動車的攻防研究
陳煜弦強調,電動車的資安議題之所以得嚴肅面對,主要是因為電動車如同數個電腦、手機、伺服器、人機介面的合體,萬一發生事故並非僅為機敏資料遭竊或損毀,恐將涉及人身安全,須得優先被解決、確保安全無虞。此即為鴻海研究院資通安全研究所發展要項之一。
電動自駕車安全挑戰大 車用系統資安研發亦為契機
究竟目前電動車可能遭遇哪些資安威脅?陳煜弦引述Upstream Security發布的2022年全球汽車網路安全報告統計,攻擊頻率最高的是後端伺服器,其次是無鑰匙進入(Keyless Entry),第三名是電子控制單元(ECU)與無線數據通訊系統控制單元(TCU)。從行車安全的角度來看,車內關鍵系統的資安等級更為急迫,須透過有效地管控ECU、即時更新韌體來降低風險性。
當汽車演進發展到逐漸成為「有輪子的電腦」,既有的資訊安全防護機制將逐漸移植到車用系統,有了可信賴的安全性,方能繼續推動先進駕駛輔助系統(ADAS)加速普及,進而邁向全自動駕駛。未來大量仰仗人工智慧演算模型,須投入研究持續不斷地調校與再訓練,才可達到精準辨識風險並加以控制,同時更須避免遭惡意攻擊扭曲人工智慧演算模型推論結果,使其產生誤判狀況。
第五屆物聯網安全高峰論壇領袖座談現場。左起:新電子/新通訊/網管人雜誌社長王智弘、勤業眾信執行副總經理簡宏偉、Akamai台灣業務總經理張茗、SGS Brightsight亞洲區營運長張凱帆、Silicon Labs台灣區總經理寶陸格
另一項須留意的議題是車聯網(Vehicle to Everything, V2X)的普及率提高,不論是車對車(V2V)、車對基礎設施(V2I)、車輛對行人(V2P)的通訊,皆可能成為惡意攻擊的入侵管道,勢必得建立合適的防護方法。
陳煜弦說明,鴻海研究院資通安全研究所目前在車用安全發展的方向範疇,首要是感測器產生的資料,蒐集的同時亦得通過人工智慧演算模型安全驗證。其次是增設網路入侵偵測與防禦機制。第三是V2X訊號須經過驗證、匿名處理。第四是車輛事件資料記錄器,以提供後續鑑識與調查之用。
至今最難解的議題主要為人工智慧演算模型判斷的精準度仍待增強,目前國內外學者也正在積極研究中。對此,資通安全研究所日前發表EVπ,為攜手國立台北科技大學與美國麻省理工學院(MIT)共同打造可相容於MIH架構的資安驗證平台,採開源軟體建構而成,可供真實地模擬針對電動車發動的攻防研究與驗證,提高車用資安的成熟度。
虛實整合時代風險高 物聯網須強化資安韌性
虛實整合技術在相當多領域中逐漸被落實應用,例如汽車製造、零組件工廠、醫療院所等場域,物聯網則連接起數位虛擬和物理實體。新電子、新通訊、網管人雜誌社長王智弘說明,無論實體世界物件、通訊網路、網路空間或稱為虛擬世界,每個環節都潛藏資安風險,可能影響企業營運,甚至是人身安全。
勤業眾信執行副總經理簡宏偉亦指出,物聯網裝置若欠缺資安考量,布建應用場域後,等同於提供攻擊者用來入侵的最佳管道。他建議,生產製造商應接軌國際標準、加速安全開發整合、掌握產品生命週期中的資安風險,才有立於不敗的基礎。畢竟目前國際間的產業對於聯網裝置安全標準相當多,方法論已逐漸收斂共通,以工業控制領域為例,IEC 62443可說已成為共通準則。若為消費性產品,大多是遵循歐洲電信標準協會(ETSI)發布EN 303 645標準,並且以此為基礎制定的新版RED(歐盟無線電設備指令),將於2024年開始實施。
資訊安全建構數位韌性為新興應用發展奠定基礎,第五屆物聯網安全高峰論壇前瞻技術盛會,匯集將近20位領域專家,深度探討工業控制、汽車電子、5G AIoT的資安技術,用以協助從業人員在各自領域中擁有宏觀視野、實戰攻略,共同強化物聯網安全
SGS Brightsight亞洲區營運長張凱帆認為,面對消費強國各自提出當地法規,深入研究可發現組成要素,不外乎具備信任根、端點防護、連接性驗證,SGS Brightsight的資通訊安全評估與測試方法論亦是參考國際標準所制定,可協助產品製造商在開發平台層級建立安全性機制,藉此證明產品可符合特定要求規範,降低檢測與認證耗費的時間。
產業朝向智慧化發展,邊緣端接取雲端服務的網路議題也備受關注。全球布建邊緣運算節點、服務全球三分之一網路流量的Akamai,2022年測得網路流量最高峰值達到前所未見的250Tbps,Akamai台灣業務總經理張茗指出,由此不難看出聯網裝置增長、高畫質影像的內容遞送應用需求。
Silicon Labs台灣區總經理寶陸格亦認為,展望2023,聯網裝置增長數量將持續倍數增長,尤其是智慧家庭應用,驅動因素為連結標準聯盟(CSA)於2022年11月正式發布的Matter技術,可在乙太網路、Wi-Fi、Thread等既有的網路協定上運作,讓異質技術開發的裝置可互通。他強調,智慧化應用需求不斷推動聯網裝置數量持續增長,自然成為攻擊者覬覦的標的,藉由滲透入侵遠端操控聯網裝置來執行惡意活動。