品安科技
aten
 

英國民間報告籲政府應改善網路安全措施

英國政府正討論IoT如何與NIS指令或歐盟通用數據保護條例互動。PETRAS

政府、產業、系統營運商和工程專業人士正在呼籲提高網路安全,並以安全可靠的方式開發物聯網(IoT)。由英國皇家工程院(Royal Academy of Engineering)和PETRAS物聯網研究中心發布的兩份報告,探討了確保連網設備和IoT安全所需步驟。

據Digital HealthAge報導,這兩份報告強調,若有人對連網醫療設備進行網路攻擊,將對患者安全造成嚴重後果。而心律調節器、核磁共振成像掃描儀等設備已被確定面臨網路攻擊風險。英國衛生機構、製造商和政府安全顧問因此舉辦一場研討會,討論如何因應這些問題。

IoT設備數量大增,意味著會因系統共享或控制個人資訊產生數據隱私問題。這兩份報告建議,數位連網系統的設計應考慮到安全性和恢復力,而產品應預設為安全無虞。這兩個組織強調,政府、監管機構、企業和供應商需不斷響應連網設備和IoT不斷變化的性質。而網路安全政策應要求整個供應鏈透明公開產品服務提供的網路安全等級。

報告還建議英國政府應與其他政府和國際組織合作制定保護協議,為IoT數據提供國際基準。並應制定道德框架,對關鍵基礎設施考慮強制風險管理程序。

英國因在網路安全、安全關鍵系統、軟體工程、硬體安全、人工智慧(AI)和社會科學方面的專業知識,在領導開發適當國際標準和監管上處於有力地位。

Jennings指出,這兩份報告確定一些加強所有連網系統的安全性和彈性所需措施,特別是社會高度依賴的關鍵基礎設施。雖然無法完全避免故障或攻擊,但能設計出具高度恢復力,能快速恢復的系統。

安候建業(KPMG)網路安全專家、《Internet of Things: realising the potential of a trusted smart world》報告主筆Paul Taylor表示,IoT沒有回頭路可走,因此應該採取超越IoT的戰略,將其推向萬物聯網(Internet of Everything),並更加關注人員、數據和流程。

Taylor認為,英國政府需考慮現有法規的適用性,及IoT如何與新的歐盟法規,如涵蓋網路和資訊系統安全性的NIS指令,或歐盟通用數據保護條例(General Data Protection Regulation;GDPR)互動。報告還呼籲英國政府對16歲後教育進行改革,包括為將在工作場所實施IoT的最終用戶開發適當水準的技能。

網路安全公司Cy-OT評論說,許多IoT設備並不安全,醫療設備也不例外。在過去幾年中發現針對各種醫療IoT設備發布的多個漏洞。而最糟情況並非數據被盜或遭惡意軟體感染,而是患者因此送命。其中有些甚至是遠距攻擊,加害者無需實際接觸設備就能動手。

這些漏洞包括簡單的漏洞,如Wi-Fi密碼的不安全儲存,用於遠距維護的硬編碼機密憑證,以及更嚴重的漏洞,如攔截通訊以更改藥物劑量,以及全面拒絕服務(DDoS),讓設備停止運行。

這不僅會對企業業務,還會對人的生命構成威脅。問題在於製造這些設備的公司並不了解其糟糕設計對安全性的影響,希望他們能在一切發生之前主動改善。

  •     按讚加入DIGITIMES智慧應用粉絲團
更多關鍵字報導: 英國 網路安全 物聯網