萬物聯網的時代,為我們帶來愈來愈便利的生活環境,然而,當這些聯網設備沒有做好資安防護,往往也讓我們曝露於資安風險之中。例如,用於保全的網路監控攝影機(IP Camera),提供如視訊通話、遠端監控、直播等服務,皆有可能在遠端監控或錄影聯網時,遭受惡意資安駭客攻擊。
根據資策會資安所(資安科技研究所)最近的抽檢,發現部分廠牌設備的韌體,其更新檔沒有加密,可輕易被竄改,造成啟動不需要的預設服務。甚至發現其預設密碼容易破解,或通訊內容沒有加密等缺失。
為確保聯網設備的資安品質達到相關規範及要求,在經濟部工業局的支持下,資策會資安所今(27)日舉辦「影像監控系統網路攝影機資安標準公開說明會」,邀請國內產官學研專家共同參與,首波針對「影像監控系統、網路攝影機資安標準」草案,徵詢產業意見。
行政院資安處簡處長宏偉今(27)日致詞時明確表示,在第五期國家資通安全發展方案中,為強化國家資通訊安全能力,打造數位經濟時代的生態系統,提升國內資安產品的核心技術,同時支援業界實際掌握防禦面向,將參考國際物聯網資安標準發展趨勢,結合國內環境需求,推動我國聯網設備資安標準與檢測制度。
經濟部工業局林組長俊秀則特別指出,目前我國製造的網路監控攝影機占全球產品比重約25%~30%。因安裝數量龐大,其資安漏洞極易造成個人隱私問題,與網路服務應用的損害及財務損失,故選定我國最有競爭優勢之網路攝影機、監控錄影主機(NVR/DVR)等設備,研訂「影像監控系統網路攝影機資安標準」草案,及「影像監控系統網路攝影機資安標準之測試規範」草案,以成為產業標準之基礎,並逐步建立我國智慧聯網設備之資安檢測服務能量。
資策會資安所丁副所長綺萍進一步表示,雖然,智慧連網設備資安的國際標準迄今尚未成熟,但是台灣很可藉此時機自主發展產業標準。目前資策會資安所協同國內有關業者晶睿通訊、奇偶科技、友訊科技、中華電信、安華聯網等,在台灣資通產業標準協會(TAICS)推動的「網路與資訊安全技術工作委員會」之下,已陸續發展一系列連網設備標準及測試規範,未來將於國內進行標準實證試煉,再推動與國際標準接軌,提升我國的智慧聯網設備業者的國際市場競爭力。
資策會資安所丁副所長綺萍說,此「影像監控系統網路攝影機資安標準」草案,特別著重網路攝影機的四大安全面向,包括:系統安全、通訊安全、身分認證與授權及隱私保護,研擬資安需求;同時參酌國際上物聯網資安規範,如ISO 27001、UL 2900系列標準、GSMA IoT Security Guideline,、OWASP Top IoT Vulnerabilities、以及日本政府的物聯網安全指導方針等標準,制定網路攝影機之安全要求與驗證測試規範,做為設備開發商、採購單位與檢測實驗室共同的規範,提升我國物聯網環境資訊安全水準。
資策會資安所將由「資安檢測鑑識實驗室(Cybersecurity Forensics Laboratory, CFL)」負責,針對資安標準及測試規範內容,進而協助產業發展高度資安等級之差異化產品,推升下一波資安產業新局面。
