萬物聯網的時代來臨,隨之而來的資安威脅也成為企業所重視的痛點。
財團法人電信技術中心(TTC)與桃園市政府合作、偕同國內外合作夥伴於桃園虎頭山創新園區成立「物聯網資安聯合檢測中心」,提供一站式資安檢測服務,引領台灣物聯網軟實力接軌國際資安標準。該中心於昨(14)日正式揭牌開幕。
萬物皆可駭時代,醫院、農場都有風險
2018年起,TTC負責執行國家發展委員會「亞洲.矽谷-強化物聯網資安防護裝備」計畫,於第一期完成了物聯網系統層級資安防護評估機制的建立,並成立物聯網資訊分享及分析中心(IoT-ISAC),協助國內各產業進行物聯網設備的資安檢驗。
TTC副執行長林炫佑表示,他們的IoT-ISAC團隊會為物聯網設備做資安弱點的分析,同時協助他們與特定的廠商媒合、補足其短處。台灣雖有許多的IoT設備製造商,但林炫佑發現,許多製造商的問題在於其產品內有部分設備是現成的,並非整套自己開發,因此在遇到資安問題時也不一定知道該如何調整,使安全評估出現漏洞。
IoT-ISAC也在過去近一年的實測中找到了許多產業物聯網設備的資安風險。舉例來說,在醫療資安方面,他們就發現有醫院所使用的護理站系統內有漏洞,能讓他們潛入系統中擅自篡改病人的資料。團隊成員表示,這使得駭客可以修改病人的藥量、甚至同時啟動所有病房內的警鈴,這些駭客情境都會使得病人生命受到嚴重威脅。
而在農業資安的部分,IoT-ISAC也發現一間透過公有雲設備存放農場感測器數據資料的團隊,由於雲端上的設定疏失,導致駭客得以潛入修改濕度、溫度等資料,進而達到啟動灑水系統、農藥噴灑系統等目的。
想像一個情境:假設某個農場明日就要收成,駭客卻在此時偷偷啟動農藥噴灑系統,在不知不覺的情況下提升農產品的農藥量,流通到市面上以後,就有可能造成食安危機。
物聯網設備資安標準國際化為趨勢,TCC望與UL加強合作
為了更全面防堵物聯網資安威脅,IoT-ISAC也設置了一個「蜜罐」(Honey Pot),即複製一個目標網站來誘捕駭客攻擊,同時記錄其攻擊手法的資安偵測手法,來進一步掌握駭客的行蹤。此外,他們也與中華資安合作,建立了情資分享平台,即日起企業到IoT-ISAC網站申請加入會員後,即可登入其平台系統,登陸設備的廠牌型號,請團隊來進行分析,獲取相關的檢測分析與威脅情資。
林炫佑表示,約莫3到5年前,物聯網資安意識還不普及時,許多設備未經過相關資安檢驗就直接被企業導入使用。而物聯網資安聯合檢測中心的成立,就是希望為未來當廠商需要外銷物聯網設備時,若是遇到客戶有安全標章方面的需求時,TCC可以先一步為國內廠商提供相關服務。
事實上,在物聯網資安領域,國際上還沒有出現國家政府級的強制性認證。但林炫佑預期,隨著物聯網設備推陳出新,相關認證標章的發展也會越來越快。
看好台灣企業發展IoT潛力,全球安規大廠UL本次也加入合作,在物聯網資安聯合檢測中心裡導入 國際級的UL IoT安全評等(IoT Security Rating),以國際上的IoT資安設計準則為基礎,融合產業標準共識,提供連網產品的資訊安全評估,並透由安全評等,在產品上標示所獲得的分級標誌,協助廠商展示產品的資安能力,亦幫助消費者在選購時能有所依據。
同時,有了公正第三方的國際驗證,國內物聯網(IoT)廠商也可以進一步取得國際市場的信賴。UL副總裁暨台灣總經理陳宗弘表示,若能就近提供台灣物聯網設備廠商在地化的檢測認證服務,也能加速這些廠商的外銷流程。
責任編輯:蕭閔云