自基礎反制駭客侵入竊資　規範標準促成安全物聯網

在政府政策方面，行政院資通安全處處長簡宏偉指出，近期發現惡意攻擊者不斷地變換手法，改採迂迴攻擊模式，先行滲透政府機關的委外供應商，並以其為跳板用以間接入侵政府機構，故強化委外供應鏈風險管理已成為當前首要工作。特別是進入到5G世代後，各類資通訊相關設備安全性益顯重要。2021年行政院國家資通安全會報提出的「第六期資通安全發展方案」已正式通過，在輔導企業強化數位轉型之資安防護能量中，供應鏈安全管理範疇涵蓋研發晶片資安檢測工具，以解決晶片潛藏資安風險問題；此外成立國際認可晶片資安檢測實驗室，加速物聯網（IoT）資安方案落地與商用化，同時參考國際標準，推動具備國際競爭力的解決方案，減少台灣製造產品外銷的資安合規性障礙。

實驗室引進國際準則 助外銷產品驗證

現代人的生活、工作皆高度仰賴電子產品，潛在的威脅卻容易被忽視，往往未必是遭到惡意駭客攻擊，就連欠缺資安意識導致的人為疏失，同樣也會影響人們正常生活與工作。

台灣資通產業標準協會秘書長周勝鄰指出，資安威脅本就防不勝防，即便是手機App也可能在背景執行洩漏個資。因此探討資安議題不僅是要防範惡意攻擊，同時也得提高保護個人隱私的意識，在連網裝置與設備設計初期就納入整體防護思維。相關判斷與認證的標準，各國已陸續積極制定，例如美國國防部計畫從2026年開始要求競標的承包商須通過網路安全成熟度模型認證（CMMC）。

實際上，周勝鄰觀察，歐盟制定網路安全法（Cybersecurity Act）可說是全球首例，為數位產品、服務與流程建立安全認證框架，並且於2020年開始要求所有歐洲國家部署的資通訊設備，必須取得歐盟網路安全機構（ENISA）驗證。基於歐洲網路安全驗證（EUCC）計畫的通用準則，並根據ISO/IEC 15408和通用準則（Common Criteria，CC），允許對資通訊產品進行驗證。接下來還會再針對雲端、醫療等垂直領域的數位化產品、服務與流程，制定相關驗證計畫，讓產業得以有所遵循。

反觀台灣產業，主要是由工業局、國家通訊傳播委員會（NCC）等機關擬定規範，授權由台灣產業資通標準協會依循主管機關規範驗證，提出物聯網資安認驗證制度、影像監控系統資安標準測試規範等認驗證標章，讓導入部署的企業或組織可清楚辨識安全性。面對歐美國家相繼制定認證規範，未來台灣實驗室亦可爭取引進國際標準規範的能量，幫助本土業者預先測試以加速取得國際認證的進程。

守護未來移動安全：智慧交通新思維

雲端運算、巨量資料、物聯網應用趨勢引領社會經濟邁向智慧化世代，使得人工智慧（AI）與物聯網成為了各產業皆積極推展的重點。資策會智慧系統研究所代所長蒙以亨指出，預計2024年全球將有390億個聯網終端，產生57.3ZB（Zettabyte）的資料，多數來源為監控、工業、車用、醫療等應用場域。其中交通運輸場域，涉及了資訊與人身安全，畢竟新興數位技術運用到交通領域，勢必得更加嚴謹，例如新車款必備的先進駕駛輔助系統（ADAS），連接網路便於傳遞資料，但也增加了資安風險。

從智慧交通資安攻防來看，惡意駭客最終企圖取得汽車的控制權，而由於智慧駕駛車輛的崛起，衍生出更多樣的智慧功能與後端運行系統，勢必有更多全新漏洞可以發掘利用。例如日前全球電動汽車龍頭特斯拉（Tesla）爆發App因故當機，導致美國、歐洲、亞洲等地區的客戶無法操控車輛，假設該App是遭惡意駭客滲透入侵取得控制權，風險範疇將直接危及人身安全，勢必得較其他領域的AIoT應用，更嚴謹看待安全性議題。

蒙以亨進一步說明，國際間對於車輛網路安全的要求已然成形，可據以分析威脅以及評估風險。國際標準化組織（ISO）與國際汽車工程師學會（SAE）所發展的ISO/SAE 21434，以及聯合國歐洲經濟委員會（UNECE）的世界車輛法規協調論壇（WP29）頒布了ECE R155網路安全管理系統法規，透過設計來減輕智慧車應用風險性；此外還有ECE R156，是針對導航圖資、多媒體等應用軟體更新與管理的法規。

ISO/SAE 21434發展歷程主要基於車用電子設備商熟知的ISO 26262道路車輛功能安全，針對汽車電子電氣系統定義車用設備的機能安全，解決車輛內系統誤操作帶來的危害。

至於國內目前智慧交通資安的方案，自2017年迄今，已完成9項資安產業標準，包含市面上已有的車載資通訊系統、智慧路燈、影像監控系統、空氣品質感測裝置等，針對智慧駕駛車輛感測資料的標準，也預計稍晚將通過。蒙以亨認為，智慧交通裝置於開發、設計、生產及售後階段，整體的資安標準與驗證機制，仍必須持續不斷強化。

對於台灣正在積極發展的智慧交通，蒙以亨提醒，或可參考國際標準，研擬國內智慧交通資安準則，讓相關製造廠商可資依循，並且建構檢測體系與標章，讓智慧交通資安環境得以更加精進。

後疫情時代重建對物聯網信任

以保護物聯網應用場域安全為使命的物聯網安全基金會（IoT Security Foundation，IoTSF），自2015年成立以來，不僅提出防護框架讓產業參考，近來更積極推動合作計畫，廣納有志之士免費參與推廣。

物聯網安全基金會董事總經理John Moor指出，物聯網安全涉及的層面相當多，目前市場上看到的連網裝置產品與服務，蘊藏著巨大商機，應用需求幾乎涵蓋了所有工商業和民用市場，尤其是COVID-19疫情促使連網裝置需求攀升，擴大居家辦公、遠距照護等應用領域，攻擊面亦隨之擴大，企業必須正視物聯網安全議題。

IoTSF成立初期的焦點偏重於交通號誌、嬰兒監視器、路由器和胰島素幫浦等連網裝置，隨著每年爆發的攻擊事件不減反增，關注範圍逐漸擴大。Moor呼籲企業與組織必須採取行動，才能免於遭挖礦劫持、勒索軟體感染、成為殭屍電腦成員，甚至是物聯網更為重視的利用跨來源資源共享（CORS）等新進手法，最終造成關鍵基礎設施樞紐遭遇攻擊。

IoTSF於2016年12月發布物聯網安全保證框架1.0版，幫助應用場域制定安全目標，近期剛發布了3.0版的框架，涵蓋範疇從設計到製造、上線運行、漏洞更新處理等，橫跨不同團隊與商業流程，更加明確定義了技術方面的目標、供應鏈管理事項，以確保完整掌握應用流程，且能針對潛在風險環節實施基本防護，同時詳加記錄連網裝置活動，持續改善風險控管措施。

為了解決物聯網應用場域面臨的安全性挑戰，Moor認為，介於雲端與應用場域之間的節點，也就是資安閘道器，不僅可保護既有網路環境，亦相當適合引進AI的力量，以智慧方法來自動偵測物聯網環境，並在發現威脅時觸發緩解措施。目前IoTSF正在推動「ManySecured」合作計畫，旨在提供邊緣端閘道器或路由器更進階的安全機制，其核心成員還包括牛津大學、思科和專注於發展人工智慧的Nquiringminds。目前正在計畫制定階段，聚焦於為邊緣端增添網路流量監控與管理、自動修復漏洞等功能，Moor強調，「歡迎製造商、營運商等領域專家加入ManySecured計畫，從IoTSF官網、無需付費就可加入，一同來定義開放的技術規範，並構建AI協同網路願景。」