進入物聯網時代 資安威脅更難應付

圖1:nest製造的監視攝影機,去年底曾爆發被駭客入侵事件 (資料來源:https://nest.com/)

【蔣士棋╱北美智權報 編輯部】

今年二月七日,美國24個橫跨零售、農業、製造、軟體、醫療科技的工商業團體,聯名發信給白宮,要求美國執政當局以及國會盡速制訂一套全面性的物聯網資安防護機制。作為回應,美國的參、眾兩院同步在四月底時舉辦聽證會,了解美國產業界為何對於物聯網的資安威脅有多焦慮。

先舉個例子說明什麼是物聯網資安威脅。在電影《玩命關頭8》當中,恐怖份子為了搶奪一只能指揮核彈發射的手提箱,遠端遙控了紐約街頭的許多輛自動駕駛汽車,把目標對象層層包圍住,任何救援行動都因此束手無策,恐怖份子順利達成目的。

不要以為這只是電影的吸睛噱頭。去年12月,Alphabet(Google母公司)旗下的家庭智能裝置廠商Nest所生產的監視攝影機,就發生過被駭客入侵、釋放「北韓已對美國發射飛彈」假消息的事件。在此之前,2017年的Satori惡意程式,也曾經造成全球10萬部路由器發生感染。電影中鋪陳的誇張情節,跟真實世界的距離只有一步之遙。

物聯網資安威脅,已經迫在眉睫

很明顯地,萬物聯網所應許的事件,並沒有想像中那麼美好。今日的人類社會,對於資通訊產品的依賴程度年年提高:早上一起床,手機的數位助理告訴我們天氣狀況;坐上汽車,駕駛系統自動設定上班的最佳路徑;要吃飯了,穿戴裝置提醒熱量攝取上限……。然而,當愈來愈多的生活大小事,都是利用科技代勞後,若被有心人士在不知不覺中操弄,所造成的損害也會無比巨大。

麻煩的是,物聯網的資安危險,又比傳統的電腦病毒更難防範。物聯網的一大特色,就是不同的通訊機制相互堆疊,例如一輛自駕車所連接的,可能有道路上的交通號誌指示系統、Google的自動導航系統,而使用者又用iPhone手機在車內播放網路即時串流音樂,而車子本身又跟製造商時時保持聯繫…..。換句話說,萬物都連上網後,物與物之間的訊息傳遞,變得更多元、更複雜、更難以監控,但只要能找到一個突破口,就是資安惡夢的開始。

歐盟修正網路安全法,建立共通資安標準

面對物聯網的新興資安威脅,許多國家和企業陸續提出解決方案。歐盟(EU)在單一數位市場(Digital Single Market)的政策框架下,在2017年就提出第一版的網路安全法案(Cybersecurity Act),授權歐盟網路資訊安全署(European Union Agency for Network and Information and Security, ENISA)整合原先個成員國各自的網路安全架構。今年三月,Cybersecurity Act進行第一次大修正,正式任命ENISA為歐盟的網路安全主管機關,也給予更充足的人事和財務資源。此外,也第一次提出涵蓋歐盟整體的網路安全認證架構,使各成員國在資訊軟、硬體上確實達到一致的資安標準。

美國電信業協會(USTelecom)以及資訊科技產業論壇(ITI)則指出,若要防範物聯網資安威脅,可以從網路基礎建設、軟體開發、終端設備、家庭與中小企業以及大企業五個面向出發,並且提出了實務操作上的建議;但他們也警告,資安防護是所有利害關係者共同的責任,必須要靠政府部門、企業、消費者相互協助才能成功。如果政府或企業僅僅是頭痛醫頭、腳痛醫腳地消極應付,資安威脅將永無休止的一天。

未來全球的聯網設備,恐怕得以「十億」當成計算單位,而且這些設備不再是傳統的電腦、手機、平板,而是紅綠燈、雨傘、瓦斯爐或路邊任何一塊廣告看板。當生活周遭所有物品都成為電子設備時,我們是否準備好應付潛在的威脅了呢?





