UL 身分識別管理安全部業務發展經理薛正
萬物聯網已離我們越來越近, 帶來智慧且便捷的生活,但當所有裝置都能連上網時,就可能成為駭客入侵的缺口,駭客若是成功入侵便會造成難以估計的損失與企業災害,該怎樣消除消費者對安全的質疑,製造商應如何執行足夠的資安評估,這些資安問題慢慢浮現出來。為此,UL根據前20大IoT資安設計準則,融合產業標準共識,訂定出IoT安全評等(IoT Security Rating),用五個安全等級:鑽石、白金、金、銀、銅,區分產品的資安防護能力。製造商只需透過1-3週的一次性產品評估,並後續每半年一次的監測,就能成本時間兼顧,降低資安漏洞風險。
UL業務發展經理薛正表示,許多通路、品牌轉而向ODM、OEM業者確認連網設備的安全性,這也讓各國政府針對IoT資安問題陸續制定法律約束來保護人民,像是歐盟已推行的《歐盟GDPR和歐盟網路安全法案》、2020年即將實施的《加州及奧勒岡州 IoT裝置安全法案》、美國國會提出的《美國IoT網路安全改善法》草案、中國提出的《中國物聯網安全國家標準》。而對於擅長IT製造的台灣,必定要重視消費者的資安問題,且必須符合「資安合規」。
現今資安有著四大挑戰:安全資訊不透明、 安全性難以量化、現有標準的挑戰以及動態安全風險存在,其中動態安全風險是目前最棘手的項目。薛正解釋,資訊安全的世界威脅時時刻刻皆在改變,軟體須經常更新。現有標準無法迎合動態的安全威脅,持續性的資安設備維護是必要的。如2016年美國數以百萬計的網路攝影機集中攻擊DNS服務商,入侵方式建立在常見弱點和已知的連網漏洞上,把關資訊安全,勢必需要解決常見的攻擊與已知漏洞。
對於資安威脅的快速變化,資安防禦應追求「80/20 法則」,製造商需將防禦系統維持在緩解常見錯誤和常見攻擊的漏洞之上,並能快速達成有意義的安全評估,共同追求相對安全。對製造商而言,若有第三方認證單位能提供一個公信、快速、易於採用、完整考量所有系統功能、亦接手後續持續評估,並輔以低成本、易於消費者識別產品資安能力的標誌,製造商是有採納意願的。
資訊世界確確實實存在安全問題,尤其資安威脅時常改變,要在資安動態危險下防禦安全是一門課題。薛正表示,面對瞬息萬變的資安挑戰,UL除了協助製造商去定義IoT安全,並遵循國際標準,也站在消費者立場,將資安訊息透明化,以易於識別的IoT安全評等標誌,傳遞安全資訊,讓消費者能夠更直觀更明智地選擇IoT產品!