物聯網(IoT)已經是現在最夯的議題之一,而針對物聯網進行的網路攻擊更複雜也更難預防,因此前置安全審查作業也顯得更重要。UL推出UL 2900系列安全認證標準,以一個公正的第三方角色,替所有物聯網相關的軟、硬體把關、審核。
根據Gartner報告,2020年全球將有210-500億台連網裝置;IDC研調機構也指出,到2018年為止,66%的網路將出現IoT安全漏洞。有些國家已經重視到這個問題的嚴重性,像是美國,已經宣布通過一筆高達190億美元的預算,用來提升美國政府內部與各產業的資安能力,稱作「國家資安行動計畫」
物聯網改變生活卻也帶來風險
曾幾何時,我們可曾想過將來有一天可以用手機操控家裡的家電?無論是聲控還是手機上滑一滑,家電就會依我們的想法進行操控。更多的是,我們還可以在裝置上監控家中的家電使用情形,小至插座,大至車子,都可以知道其中的使用情形,像是用電量、里程數。
但在如此便利的科技之中,也帶來了不小的風險。物聯網所強調的往往是簡單操縱、輕鬆連結,但在便利的背後,犧牲的是安全,尤其是當任何人都可以用最簡單的方式連接到你家中的家電,像是透過竄改密碼、入侵未加密的網路中,可想而知,你的生活都會遭到監控,甚至被竊賊入侵等等。
UL也舉了一個例子,國外的一個記者親身體驗了當自己的車子被駭客入侵並且操控時會有多可怕,記者邀請到兩個駭客來實驗是否能入侵他的車子,結果是,駭客成功操控他的車子,調整他的車子喇叭音量、開啟雨刷甚至停掉引擎害他不得不在高速公路上停下來。
這個測試最終導致了原廠決定回收150萬輛同款車,因為這款車種很顯然的存在龐大的安全性問題。
危險性是一回事,而個資遭竊又是另外一回事了。我們訪問到UL的能源暨電力科技部事業發展經理陳立閔,他說國外有的駭客會透過網路入侵你的電動車(也有可能像是上面影片中的汽車,只要有連網能力,甚至只要能連上GPS,就可能遭駭),竊取你的移動資料,然後在特定場合推播廣告給你。
物聯網也成了勒索軟體的下手目標
試想,如果物聯網遭到駭客入侵,駭客的目標會是什麼?很有可能就是藉著狹持你的網路來勒索你。如果僅是勒索那也還好,但如果因而引起安全性問題,那可就事大了。而一旦遭到駭客入侵,就算沒有連網,也會繼續遭到駭客的監控與操弄。
陳立閔經理接著說到,美國醫院成了駭客勒索的目標。聽起來很離奇也很難想像,到底醫療院所為何會成為目標?很簡單,只要駭客入侵醫院的網路,把手術室裡的儀器全部鎖住,不給醫生使用,然後藉此勒索高額贖金,要醫院付錢「贖回」儀器。這也是為什麼美國會如此重視網路資安問題的原因之一,而醫療儀器更是成為UL認證的首要項目之一。
▲UL能源暨電力科技部 事業發展經理 陳立閔
其他諸如門禁系統、監控系統、電腦系統的安全性,這無論對公司行號還是一般家庭來說都是非常重要的。假設公司的監控系統或是電腦遭駭、勒索,不僅要付出高額贖金,還可能丟失大量重要資訊,或是洩漏重大的個資。
解密物聯網遭駭原因
物聯網遭駭就表示網路存在風險,這些風險就算是廠商也可能忽略,更不用提無辜的消費者。UL也舉出了十大風險,讓大家了解駭客會從什麼管道入侵你我家的物聯網:
- 不安全的網路介面
- 授權保護不足
- 不安全的網路服務
- 資料傳遞沒有加密
- 隱私沒有得到保護
- 不安全的雲端介面
- 不安全的手機介面
- 安全設定不夠安全
- 不安全的軟體與韌體
- 貧乏的實體安全防護
在我們會後與陳立閔經理的聊天過程中,他也拋出一個問題,為何大多數的可連網家電都是透過Wi-Fi與手機配對而不是藍牙或NFC?那是因為Wi-Fi會連到產品的雲端空間,如果產品業者想要,是可以想辦法進入你的手機,進而發送廣告給你。這也成為了駭客容易下手的目標,如果產品業者的雲端空間不安全,就等同於替駭客打開了一道門,駭客就可以輕輕鬆鬆進到你的網路裡。
UL全球網路安全服務與標準
特別針對降低物聯網技術中潛藏的安全與效能風險,UL推出了UL 2900系列標準,用來檢驗市場上連網產品與系統的安全性,可以評估軟體漏洞與弱點、降低被入侵的風險、處置已知的惡意軟體、檢視安全控制項目,並提升安全意識,產業範疇涵蓋了醫療設備、汽車、智慧家電、警報系統、建築、智慧電表等等。
簡單來說,透過UL的網路安全性標準認證,可以協助企業主了解自家產品的網路安全性如何,而且UL的認證標準非常全面性,透過產品模糊測試來識別所有介面上零時差漏洞的攻擊風險,還有辨識產品中未修復的已知漏洞等等,在在都可以確保產品的安全性,對企業主來說也能增加產品的可信度。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!