五大联赛买球关系

物联生活不给“骇” UL IoT安全评等大揭密

  

随著5G商转时代的推波助澜,万物联网的生活受到各界极大瞩目!根据Technavio研究数据指出,智慧家庭渗透率从2017年的14.9%,预计至2021年将跃升为60.7%。目前从扫地机器人、智慧冰箱、智慧烤箱到近期出现的智慧户外割草机,快速且便利的远端遥控家电,能搜集资料、上载云端,协助我们处理事情,甚至事先通知采买,物联网带来的“家庭智慧化”已逐渐成形!

物联世界成形 资安问题事关重要

然而,当所有装置都能连上网时,就可能成为骇客入侵的缺口!日前时有所闻的资安问题就造成难以估计的损失与企业灾害,如:银行自动柜员机的自动吐钞、科技大厂因骇客攻击而导致生产链断线等。智慧且便捷的背后是安全的质疑,间接影响消费者意识抬头,超过七成的千禧世代期待制造商应执行足够的资安评估。循著这波趋势,UL推出全球第一个融合产业标准的IoT安全评等 (IoT Security Rating),提供连网产品的信息安全评估标准,而资安风险到底该怎么把关,UL进一步分享。

各国陆续立法 资安合规不能避免

UL业务发展经理薛正指出,台湾擅长IT制造,要抢入IoT市场,“资安合规”必须正视。为因应消费者对于资安问题的重视与要求,许多通路、品牌也转而向ODM、OEM业者确认连网设备的安全性,也催生各国政府陆续针对IoT资安问题立法与订定强制规范,如:欧盟已推行的《欧盟GDPR和欧盟网络安全法案》、2020年即将实施的《加州及奥勒冈州 IoT装置安全法案》、美国国会提出的《美国IoT网络安全改善法》草案、中国提出的《中国物联网安全国家标准》。

但企业要达到“资安合规”是当前难题。以加州及奥勒冈州即将推行的《IoT装置安全法案》为例,其要求IoT设备最基本的安全需求,包含:不可以缺省密码 (Default Password)、第一次启用时须强制变更密码…等,法令要求的是最终成效,并未详细说明设计、装置设定等过程该如何遵循。UL透过IoT产品的安全评等观点,可协助企业加快提出资安合规的证明。

资安防御四大挑战 第三方能协助避免误區

综观现在制造商对于资安防护普遍面临的四大挑战,包括:

安全信息不透明:现在安全信息的不对等,使得消费者不容易辨别产品的安全性,进而导致制造商之间缺乏重视资安的竞争动机、投资价值与动力。 安全性难以量化:各界专家在谈论资安认定范围不同,缺乏产业安全基准。 现有标准的挑战:每个IoT设备硬件资源的开发周期越来越短,过去的产业标准与测试无法用于现今的IoT设备上,而取得认证亦须投注大量资源与资金,成本之间的差距与消费者对标准的不理解,使资安挑战加剧。 动态安全风险存在:信息安全的世界威胁时时刻刻皆在改变,软件须经常更新。现有标准无法迎合动态的安全威胁,持续性的资安设备维护是必要的。

UL对此针对制造商的挑战痛点加以说明,IoT设备面临的资安评估与问题从过往的案例可以见得大多数的攻击是无方向性且大规模执行,如:2016年美国数以百万计的网络摄影机集中攻击DNS服务商,入侵方式创建在常见弱点和已知的连网漏洞上,把关信息安全,势必需要解决常见的攻击与已知漏洞。

对制造商而言,面对这些挑战,若有第三方认证单位能提供一个公信、快速、易于采用、完整考量所有系统功能、亦接手后续持续评估,并辅以低成本、易于消费者识别产品资安能力的标志,制造商是有采纳意愿的。

UL强调,因应资安威胁的快速变化,资安防御应追求“80/20 法则”,制造商需将防御系统维持在缓解常见错误和常见攻击的漏洞之上,并能快速达成有意义的安全评估,共同追求“相对安全”,才是把关IoT安全的法则。

IoT安全评等 定义产品的资安防护力

UL根据前20大IoT资安设计准则,融合产业标准共识,订定出IoT安全评等,考量七大类别,包括:安全软件更新、资料加密、安全通讯、隐私需求、系统管理、逻辑安全、文件流程需求,以40多项测试项目进行严谨的评估,可从产品设计环节就导入安全防护规范,用五个安全等级:钻石、白金、金、银、铜,区分产品的资安防护能力。制造商只需透过1-3周的一次性产品评估,并后续每半年一次的监测,就能成本时间兼顾,降低资安漏洞风险。

 

从消费者出发 资安信息透明化

信息世界确确实实存在安全问题,尤其资安威胁时常改变,要在资安动态危险下防御安全是一门课题。UL立基于长久丰富的资安研究与安全认证,面对瞬息万变的资安挑战,除了协助制造商去定义IoT安全,并遵循国际标准,也站在消费者立场,将资安信息透明化,以易于识别的UL IoT安全评等标志,传递安全信息,让消费者能够更直观更明智地选择IoT产品!

关于UL

UL运用科学,解决产品安全、信息安全、以及可持续性发展等各方面的挑战,让全世界各地的人们,享有更安全的居住与工作环境。UL标志成就信任,促使创新产品及前瞻科技能被安全无虞地应用。在UL工作岗位上的每一位员工都怀抱热情,为打造更安全的世界而努力。我们的服务包含测试、检验、稽核、认证、验证、咨询与培训,并提供支持产品安全与永续发展所需的软件解决方案。欲了解更多,请浏览 UL 网站:www.UL.com; UL 台湾网站:taiwan.UL.com。

 

 

 

浙公网安备 33011002013328号