隨著IoT (物聯網)應用的發展,連網裝置數量逐年攀升,各式各樣裝置的連網功能,儼然成為近幾年的潮流。2020年COVID-19爆發後,因防疫政策而推動在家工作、遠距教學、封城隔離等措施,大幅推升消費者大眾在電子商務、線上服務的使用頻率及依賴度,企業界更興起一股數位轉型風潮。倍增的連網裝置及使用率,暴露出更多資安防護網中的弱點,網路駭客紛紛伺機而動,目標多集中於資安意識較薄弱的遠端連線使用者,導致網路犯罪遍地烽火,犯罪規模甚至擴大並組織化,而資安防護張網的速度似乎開始應接不暇。
這其中, 除了人為及IoT連線裝置倍增的因素外, IoT 裝置本身驗證功能過於簡化(Weak Authentication)、未更新的過期韌體(outdated Firmware)及遭植入惡意程式(malware)等是IoT資安主要風險所在。
這種狀況在營運規模大小不一的製造業尤其明顯,也形成了部分資安防護上的困境。製造業設備的使用年限長且要求生產穩定,通常不輕易更換設備的硬體和軟體的習慣,造成老舊設備容易被日新月異的駭客手法侵入,進而引發大規模的財務或商譽損失。
加強IoT Device 資安規範與認證
已成為國際趨勢
為強化IoT裝置安全性及防範日益嚴重的網路犯罪,歐美各國已針對IoT連網裝置制定相關的資安規範。隨著歐盟網路安全法(EU Cybersecurity Act, 2019)及美國物聯網網路安全法(IoT Cybersecurity Improvement Act, 2020) 陸續頒布,IoT裝置須符合當地規範並通過認證的要求也將於2023年前逐步上路。對以出口為導向的台灣資通訊(ICT)產業而言,可謂影響甚大。未來廠商需要將各國對於IoT裝置的資安要求審慎納入產品設計考量中(Design for Security),才能符合各大經濟體的資安法規,或通過資安檢測及認證。
完整的IoT 資安防護
建構於多層次的生態體系
資安防護的破口往往源自整體生態系統中最脆弱的地方。在物聯網時代,一個產品的資安生命週期管理(Life Cycle Management)涉及到生態系統中的各個層面,從使用的硬體晶片、運行的韌體/軟體、到連接的雲端,整個端到端供應鏈上的資安皆須要被全盤考量及設計。
硬體信任根(Hardware Root of Trust)與韌性(Resilience)是整個生態系統的資安基石。
硬體信任根是高度可靠硬體、韌體和軟體的組件,用以執行特定的關鍵安全功能,也是其他組件可以衍生相關安全功能的基礎,因此必須透過設計確保它們的安全。
美國國家標準暨技術研究院(NIST)與歐盟網路和資訊保安局(ENISA)皆曾提出「硬體信任根優於軟體信任根」的論點,因為硬體信任根對於惡意軟體具有防篡改機制的保護。
然而,世上沒有絕對安全的系統,今日的安全不代表明日的安全,因此平台本身需要具備建構在硬體晶片上的韌性(Resilience)功能,也就是在遭受駭客攻擊時能夠將自身恢復到「安全啟動狀態」的能力,這再度彰顯「硬體信任根」在未來資安防護上的重要性!
在台灣建立接軌國際的
完整IoT 資安產業生態鏈
全球約有八成網路安全硬體平台是由台灣生產,加上台灣是半導體晶片及IoT硬體設備的出口大國,台灣的ICT產業極有潛力發展成為資安護國群山。
基於全球趨勢及台灣目前產業狀況,台灣區電機電子工業同業公會(TEEMA)於今年初成立資訊安全暨生態系統委員會(Information Security & Ecosystem Committee,簡稱 iSEC),協助整合產業能量,布局資安整合解決方案,保持及提升產業競爭力。
iSEC 委員會宗旨及工作重點:
一、結合產官學和軟硬體產業供應鏈
目前台灣資安產業多以中小型軟體業為主,而資安晶片等硬體解決方案更是少之又少。行政院資安產業發展行動計畫中,也指出當前台灣資安產業欠缺大型實戰攻防場域淬煉,以及缺乏資安產業標準、測試規範與完整的資安檢測認驗證制度,這些都將成為IoT相關產業競逐國際市場之阻礙。
本會將聚焦台灣資安產業的能量,促進產業與政府、學校交流合作,並強化軟體與硬體的整合應用,將碎片化的資安解決方案梳理匯集,建構完整的資安生態系統全貌(Security Ecosystem Landscape)。
二、建立資安場域生態系統
面對變幻莫測的資安威脅,目前行政院資通安全會報正在推行第六期資通安全發展方案,期望透過強化供應鏈安全管理,聚焦資通訊晶片產品安全性,建構安全智慧聯網、提升民間防護能量。
本會從產業角度出發,運用政府與業界的現有的資安能量,促進特定領域建立資安生態鏈並強化其防護力。加速垂直整合與生態系統建構,同時提升產品的附加價值,達到產業升級。
三、協助接軌國際資安標準
在資安國際合規部分,聚焦國際主流的產業資安標準,深化與國際資安組織的交流與合作,促進國內資安標準建立及產品與晶片的認證能力。進一步借鏡並導入國際資安標準與安全認證,推動國際認證在地化,除了與國際接軌外,更可加速提升本土資安檢測能力,並提供台灣廠商在地化認證服務,縮短認證時間及降底費用等成本,快速強化資安供應鏈體質,成為台灣廠商進軍國際資安市場的後盾。
四、 超前部署「MIT」(Made in Taiwan) 國際資安合規終端產品,行銷世界
要打造MIT資安整合解決方案,需要生態系統中各個層次共同整合布局,除了繼續累積軟體資安能量,在硬體信任根中扮演要角的「晶片」是整個生態系統的安全基石,更是不容忽視。台灣IC產業應積極投入「國際合規安全晶片」的研發,運用已有的產品設計和生產能力,順應國際的資安趨勢,領先強化產業的資安防護能力,建立完整的資安供應鏈及解決方案,豎立MIT在全球IoT產品的新領導地位。
五、深耕企業和民眾的資安意識
除了產業和政府努力建立資安生態系統和強化IoT的資安防護,最終IoT產品的使用者(公司和消費者)要買單。民眾有資安意識,願意購買具資安防護的產品,更重要的是,選擇通過資安認證的產品,如此才能產生正向循環,讓企業有動力持續投資在強化資安生態系統和產品的資安防護。另外,舉辦客製化的資安研討會及講座,提供企業 C-Level(CEO, CFO, CIO, President等等) 高階主管全方位資安意識與管理能力,由上而下扎根資安意識。
未來物聯網將隨著5G、電動車及智慧製造等應用蓬勃發展,也代表著來自四面八方的資訊安全威脅已迫在眉睫,除了政府大力推動之外,企業應將資訊安全視為企業社會責任及企業文化要務之一,共同打造國際合規的ICT資安產業,成為另一個台灣的「護國神山群」(資安生態體系)。