萬物聯網的時代來臨，隨之而來的資安威脅也成為企業所重視的痛點。

財團法人電信技術中心（TTC）與桃園市政府合作、偕同國內外合作夥伴於桃園虎頭山創新園區成立「物聯網資安聯合檢測中心」，提供一站式資安檢測服務，引領台灣物聯網軟實力接軌國際資安標準。該中心於昨（14）日正式揭牌開幕。

萬物皆可駭時代，醫院、農場都有風險

2018年起，TTC負責執行國家發展委員會「亞洲．矽谷-強化物聯網資安防護裝備」計畫，於第一期完成了物聯網系統層級資安防護評估機制的建立，並成立物聯網資訊分享及分析中心（IoT-ISAC），協助國內各產業進行物聯網設備的資安檢驗。

TTC副執行長林炫佑表示，他們的IoT-ISAC團隊會為物聯網設備做資安弱點的分析，同時協助他們與特定的廠商媒合、補足其短處。台灣雖有許多的IoT設備製造商，但林炫佑發現，許多製造商的問題在於其產品內有部分設備是現成的，並非整套自己開發，因此在遇到資安問題時也不一定知道該如何調整，使安全評估出現漏洞。

IoT-ISAC也在過去近一年的實測中找到了許多產業物聯網設備的資安風險。舉例來說，在醫療資安方面，他們就發現有醫院所使用的護理站系統內有漏洞，能讓他們潛入系統中擅自篡改病人的資料。團隊成員表示，這使得駭客可以修改病人的藥量、甚至同時啟動所有病房內的警鈴，這些駭客情境都會使得病人生命受到嚴重威脅。

而在農業資安的部分，IoT-ISAC也發現一間透過公有雲設備存放農場感測器數據資料的團隊，由於雲端上的設定疏失，導致駭客得以潛入修改濕度、溫度等資料，進而達到啟動灑水系統、農藥噴灑系統等目的。

想像一個情境：假設某個農場明日就要收成，駭客卻在此時偷偷啟動農藥噴灑系統，在不知不覺的情況下提升農產品的農藥量，流通到市面上以後，就有可能造成食安危機。

物聯網設備資安標準國際化為趨勢，TCC望與UL加強合作

為了更全面防堵物聯網資安威脅，IoT-ISAC也設置了一個「蜜罐」（Honey Pot），即複製一個目標網站來誘捕駭客攻擊，同時記錄其攻擊手法的資安偵測手法，來進一步掌握駭客的行蹤。此外，他們也與中華資安合作，建立了情資分享平台，即日起企業到IoT-ISAC網站申請加入會員後，即可登入其平台系統，登陸設備的廠牌型號，請團隊來進行分析，獲取相關的檢測分析與威脅情資。

林炫佑表示，約莫3到5年前，物聯網資安意識還不普及時，許多設備未經過相關資安檢驗就直接被企業導入使用。而物聯網資安聯合檢測中心的成立，就是希望為未來當廠商需要外銷物聯網設備時，若是遇到客戶有安全標章方面的需求時，TCC可以先一步為國內廠商提供相關服務。

事實上，在物聯網資安領域，國際上還沒有出現國家政府級的強制性認證。但林炫佑預期，隨著物聯網設備推陳出新，相關認證標章的發展也會越來越快。

看好台灣企業發展IoT潛力，全球安規大廠UL本次也加入合作，在物聯網資安聯合檢測中心裡導入 國際級的UL IoT安全評等（IoT Security Rating），以國際上的IoT資安設計準則為基礎，融合產業標準共識，提供連網產品的資訊安全評估，並透由安全評等，在產品上標示所獲得的分級標誌，協助廠商展示產品的資安能力，亦幫助消費者在選購時能有所依據。

同時，有了公正第三方的國際驗證，國內物聯網（IoT）廠商也可以進一步取得國際市場的信賴。UL副總裁暨台灣總經理陳宗弘表示，若能就近提供台灣物聯網設備廠商在地化的檢測認證服務，也能加速這些廠商的外銷流程。

責任編輯：蕭閔云