物联网安全防护的有效做法是从源头开始

物联网安全防护 有效做法是从源头开始

 

  美国电信商Verizon日前发布2017资料安全报告的案例中揭露,美国一所大学遭到分布式阻断服务(DDoS)攻击,追查来源后,发现校内约5,000个物联网(IoT)设备,包括路灯、自动贩卖机等,竟然就是瘫痪校内网络的元凶。

  进入物联网时代,网络摄影机、路由器、联网电视、联网冰箱等物联网设备,遭有心人士利用而成为安全犯罪帮凶,不再是天方夜谭。

  为了提高企业对信息安全的警觉,欧美也都研拟法案要重罚安全漏洞的企业,未来企业不仅面临安全犯罪的赎金威胁,还有政府的罚金开铡,再加上商誉受损,可谓是面子、里子多重损失。安全问题已是迫在眉睫,刻不容缓。

  已有多家信息通讯企业,因为产品缺乏妥适的信息安全设计,遭到FTC(美国联邦贸易委员会)告上法庭,要求禁止企业的不公平与欺骗行为,或是电商服务发生个人资料外泄事件,在争议期间不只造成产品可能无法继续销售,更对品牌商誉带来难以计算的无形损失。

  即使只是建置内部网络的智能工厂,或是只在国内提供产品及服务的企业,只要有任何设备连上网络,就有机会成为黑客目标。

  例如伊朗的核电厂曾暴露在安全风险下,就是因为维修工程师带着笔记本电脑进厂维修;或去年的ATM自动吐钞事件,显示任何设备只要能连上网络,就会暴露在安全风险的环境中,尤其在万物联网的时代,更是必须将物联网信息安全,列入企业生存的重大议题。

  防范于未然,将安全威胁的风险降至最低,最有效做法是从源头开始。将安全列为重点且考虑周详的设计是产品成败的重要关键;将安全设计融入产品开发生命周期中,可避免未来许多因设计不周所带来的安全事件所造成的损失。

  物联网时代,从感测层、网络层到平台层,每一个层次都有各种硬件与软件,必须视最终应用的用途来衡量风险指数,决定将信息安全保护做到何种层级,更要将“信息安全”纳入设计时间思考,以避免“补破网”的窘境。

  例如,有些物联网的感测设备被侵入后的危害不大,设备本身只以软件保护,另外从网关层次再增加多重保护;但若是植入人体的生理讯号芯片,一旦被骇可能危及使用者的心率、电波调校状况等,更需要防范严密,从传感器的硬件就要使用加密芯片,从硬件、软件各个层级都要保护。

  美国消费者调查已经开始将“信息安全”列入洗衣机等消费性电子产品的评比项目,未来联网产品增加,信息安全更将成为企业存亡关键的核心竞争力。