台北市政府產業發展局
活動+
 

物聯網應用高達8成未進行安全漏洞測試

連網應用日趨普及,如何強化產品資料傳輸與蒐集安全性成為一大要務。法新社

物聯網(IoT)技術的興起,正逐漸對個人化科技安全典範與一般日常生活的人機互動模式形成轉變效果,麥肯錫公司(McKinsey)預估到了2025年,全球物聯網生態體系將創造6兆美元產值。

物聯網技術一大關鍵在於會大量蒐集各方可獲得的資料,雖可為人類生活帶來更多便利,但若未妥善發展可能導致更多資安風險性,從助力反而成為阻力,因此如何提高物聯網安全性即成為一大重點。

據InfoWorld網站報導,物聯網技術有賴於建構在一個具安全、信任及資料完整性的技術提供相應基礎,要能同時提升日常生活連網應用便利性與減低物聯網技術資料安全風險,實際上也有許多方法,如Genesys公司產品管理總監Jack Nichols提供六大提升物聯網安全性方法。

物聯網安全性必須從開始到部署階段都納入考量,但往往部分企業或組織在考量物聯網部署的安全性上,基於預算及時間成本有限的考量,往往將物聯網安全性考量擺在後頭,等到過程最終階段才願意處理。

部署具高度安全性物聯網應用將攸關能否給予旗下客戶更好的客戶體驗,唯有打造比其他競爭對手更受信賴的物聯網服務,才有獲得客戶更願意掏投資更多支持的可能。若物聯網業者在不顧安全性下急於將物聯網系統推向市場,很有可能面臨失去消費者信任的風險。

近期一項調查顯示,高達8成物聯網應用未針對安全性漏洞進行測試,因此為避免安全性風險升溫,業者在發展自有物聯網應用與服務時,將必須處理持續性的內部及第三方安全性漏洞分析以及滲透性測試,另外最好將安全性考量納入產品開發週期。

現今有不少物聯網產品製造商及應用程式(App)開發者,仰賴用戶安裝更新及配置安全設定,但理想情況下物聯網產品供應商應具備能夠遠端向用戶端推送安全修補程式及更新的能力,最好在掌握避免安全性問題的技術後就盡快推送至用戶端。這類自動化仍尊重用戶原本的設定,加上是主動為用提供更安全的升級,有助提升客戶對產品及供應商的信任度。

根據新的「物聯網信任架構」(IoT Trust Framework)指出,要提升物聯網應用安全性,強化加密環節也是一大重點,若物聯網應用供應商能夠主動對用戶隱私防護表達關心,如確保任何物聯網服務支援的網站,都會完全將用戶的對話從裝置到後端進行加密。

現階段最佳加密措施包括預設情況下的HTTPS或HTTP Strict Transport Security(HSTS),也被稱為是「AOSSL」或「Always On SSL」。此外,物聯網裝置也應包含能夠可靠驗證其後端服務與支援應用的機制。

產品的透明度也是一大重點。如美國聯邦通訊委員會(FTC)曾經對液晶電視製造商Vizio就該公司蒐集及銷售其智慧型電視消費者個資而遭裁罰。

近期據IEEE IoT業務通訊所言,物聯網產品也不應被排除在良好的透明度原則下,反而需要了解到在物聯網系統中的隱私威脅是獨一無二的,因此需要關於個人資料蒐集或創生、對該資訊執行的資料操作,以及保留脈絡等三項條件的透明度披露。

一般來說最好的做法在於將資料蒐集實務、隱私、安全以及支持性政策等資訊,放在公司官網中易於看見的位置,這可在消費者購買或選擇服務前先行供評估,並說明若消費者不同意這些政策,物聯網產品將有部分功能無法執行。

另外,擁抱邊緣分析(edge analytics)及最小化傳輸中敏感性資料的數量同樣有助提升安全性。有鑑於邊緣運算的論點通常圍繞在即時功能性及與機器學習(ML)和人工智慧(AI)的保留上,若能減輕客戶資料從物聯網端點傳送至雲端的暴露風險將有提升安全性的助益。

  •     按讚加入DIGITIMES智慧應用粉絲團
更多關鍵字報導: 隱私權 物聯網