企業資安防護再進擊 物聯網設備資安應從驗證做起
- 鄭斐文/台北
-
日前,美國加州議會通過全美第一個物聯網(IoT)裝置的資訊隱私法案。法案中規定,IoT裝置的製造商必須提供合理的安全功能,明確規範任何可自區域網路之外登入的連網裝置預設密碼都必須是獨特的,使用者首次設定該裝置時,必須提醒使用者設定自己的密碼之規定。
而對於美國議會通過這個當前全球第一個物聯網裝置的安全法案,資安廠商翔偉資安執行長杜世鵬表示,過去有很多物聯網裝置因為安全密碼設置不夠妥善,因此遭到駭客或有心人士利用,成為DDos攻擊的跳板。因此,該項法案的制定,就是針對這些過去在資安防護上較不周密的物聯網裝置,包括IP Cam、Step-Top-Box等,以降低發生被侵入後當作殭屍網路的情形。
物聯網設備資安應從驗證著手
杜世鵬強調,有關物聯網設備資訊安全問題,「驗證」絕對是不可或缺的一環。包括軟體、韌體等項目在完成之後,請專業單位重新審視;亦或者在硬體上,在敏感核心部分,包括處理器或網路等,最後檢視與原始零件表的對照,查看是否有不應該出現的零件在其中等等,才不致發生如近期新聞報導的類似SuperMicro事件發生的狀況。
杜世鵬進一步指出,過去在資安威脅尚未如此氾濫的情況下,對於這方面的需求與認知,多半企業會因為成本的考量而忽視。不過,在目前資安問題威脅嚴重的情況下,企業不論是被規範,或者是自主意識到這樣的需求,也應該開始執行這樣的安全檢視作業。只是,相較來說,因為歐美國家在法令訂立較為完整的情況下,執行得較為普及,而亞太地區除了日本之外,就較為落後。
亞太地區在這方面執行較為落後的問題,除了法規的訂立不完整之外,標準的制定也是個影響的關鍵。杜世鵬表示,在歐盟相關的資訊產品規定,甚至包含電壓、電流、材質是不是符合環保,或者是相關的操作規定等都有嚴格的標準。因此,廠商也有比較明確的標準可以去遵守,而這方面在亞洲就顯得比較缺乏,所以相關問題的發生也就比較頻繁。
因此,呼籲政府或企業必需要制定相關的法令、標準,甚至產品的研發要隨著這樣的腳步走,在降低資安風險的同時,或許消費者也必須認知,未來透過這樣機制所提供出來的產品,價格也將會相對提高,而這或許也能提升企業願意做這方面投資的誘因。
