物联网资安立法及智慧城市韧性应用分析
964 次检阅

物联网资安立法及智慧城市韧性应用分析

2019 年物联网发展延续 2018 年热潮,从与 AI、5G、云端的结合,到数位孪生、数据经济应用,乃至道德、资安、民主化的规範面等,更加成熟聚焦于衍生应用和资安基础的建立。若以政策法规、市场需求与技术发展为观察指标,物联网在 2019 年持续多元发展,应用更实务落地,为厂商带来实质效益,也为城市带来防护能耐。

资安为万物连网重要基石,法规制定成趋势

近年大规模物联网网路攻击事件频传,各国逐渐由民间自主应对转为官方立法防护,例如美国即将问世的「物联网设备安全测试準则」、欧盟预计 2019 年通过的《数位安全法》(Cybersecurity Act)、日本《通信事业法》修正等。厂商普遍对相关立法持正面态度,部分厂商也顺应相关趋势,调整产品设计,期望透过产官合作,让民众对物联网应用更具信心。

美国物联网资安要求由政府内部延伸至民间厂商

美国 2017 年提出「创新发展与物联网法案」(Developing Innovation and Growing the Internet of Things Act,DIGIT ACT),研拟物联网主要程序架构和制定频谱起,近年持续就物联网资安部分订定相关法规,例如规範政府部门採购 IoT 装置的「IoT 网路安全促进法案」(IoT Cybersecurity Improvement Act);由商务部建立机制并鼓励厂商对 IoT 商品资安、加密、分级标籤认证的「网路盾牌法案」(Cyber Shield Act);美国 NIST 提出的「网路安全框架」(Cybersecurity Framework,CSF)与即将问世的「物联网设备安全测试準则」等。

随着物联网网路攻击事件此起彼落,美国政府决定以法规防堵资安疑虑,例如加州 2018 年通过《装置资安法》(Title 1.81.26. Security of Connected Devices),相较于过往法规的鼓励性质,该法明文规定要求联网装置製造商必须设立合理的安全措施,且每个装置需配有一组独一无二的预设密码,或要求使用者于第一次使用前设定新的身分认证方式。

日本修法将物联网装置安全定为厂商义务

日本政府 2018 年底至 2019 年初频频针对物联网资安修法,原因或与 2018 年南韩平昌冬奥开幕式遭俄罗斯骇客攻击有关,使日本政府全力备战 2020 年东京奥运。主管机关总务省 2019 年 1 月底修正《电气通信事业法》,于 2020 年 4 月起要求联网终端设备须具防非法登录功能,例如能切断外部控制、要求变更初期预设 ID 和密码、可时常更新软体等,且唯有满足标準、获得认定的设备才能在日本上市。此次电信法调整也要求当非法登录造成「3 万用户超过 12 小时」或「100 万用户超过 2 小时」故障时,营运商需将该故障视为重大事故向总务省呈报,违者将受行政处分。

此外,日本自 2019 年 2 月底启动 NOTICE(National Operation Towards IoT Clean Environment)计画,允许国立情报通信研究机构(National Institute of Information and Communications Technology,NICT)人员可于监督下,尝试以产品原厂密码和弱密码(例如 123456 或 admin 等)登入一般家庭的私人 IoT 设备,并把可登入名单交给相关网路服务商,提醒消费者保护该装置。

厂商立场与产品调适A. 主流厂商乐观其成,规範细节盼再釐清

政策制定和法规颁布往往牵动厂商动态,包括成本是否因此垫高、标準是否国际互通等;而法规政策也会对一般大众造成影响,例如日本 NOTICE 计画公布后饱受社会抨击,认为政府试图登入私人物联网设备的行为本质与骇客无异,且蒐集的数据与名单恐引起另一波网路犯罪和诈欺。

观察此次物联网相关资安法案规划过程和制定结果,虽已将影响範围从数位服务商扩大到产品製造厂,然因资安是物联网发展的关键基础,唯透过政府和厂商共同对民众建立信任感,方能支持后续的持续应用。相较于 2018 年中旬《加州隐私法》(California Consumer Privacy Act)制定后,造成科技大厂抵抗和游说新法,多数厂商对物联网资安法规普遍持正面态度。

思科(Cisco)对 NIST 制定的 CSF,便认为可为组织厂商提供一致标準,且协助辨识需管控的风险,也建议 NIST 发展隐私框架(Privacy Framework)时,可大幅依循 CSF 的制定原则,进而提高两框架的相互操作性和包容性,包含苹果、IBM、微软、赛门铁克与趋势科技等商业软体联盟(Business Software Alliance,BSA),也鼓励成员就欧盟数位安全法草案展开相关产品、服务与流程的自我评估。

全球物联网资安法规虽陆续颁行,然部分内容尚持续补强中,对新法和现行计画的替代问题、法规依循顺序与未来认证计画的认可範围等,都是厂商未来适法调整的重点。

B. 资安厂商呼应政策,针对源头进行设计

物联网资安法规透露出政府对此议题的看重,相关细则虽持续发展,但就原则而言,颇有数位隐私不仅是数位服务商的责任,甚至需要做到源头管理和装置需具备独一无二辨识性的意味,是以相关厂商也呼应政策走向产品调适,例如 Gemalto(金雅拓)2019 年初发表新模组,将 eSIM 整合到 Cinterion LTE-M IoT 模组,帮助 AT&T 用户强化物联网连接安全。

製造过程将 SIM 深度整合到模组,有助于提高耐用性、耐热性与耐振动能力,且 eSIM 可在物联网解决方案长期使用的过程中,透过简易更新持续加强安全性,同时内建防篡改机制,保护设备免受不断变化的网路安全威胁,设备製造商也无需部署自己的安全生产设施。此外,该模组亦可添加嵌入式安全晶片(eSE)功能,将数据存放在高度安全的资料库,仅限获得授权的应用程式和人员共享,提供额外安全保护。

Thales e-Security 针对应用管理资料分析、资料收集储存、通讯网路 IoT 设备等 3 项物联网架构元素,发展个别资安对策,针对受保护的资料和系统,可限制为只有授权使用者和设备能存取;为使装置能安全连接物联网,每个设备都需要特有的辨识凭证,发展的硬体安全模组 nCipher HSM,在 IoT 设备的製造和运作中内建硬体信任根(Root of Trust),提供更安全的系统环境并支援防护应用程式,让製造商能使用加密处理、金钥保护与金钥管理,为每个设备提供独一无二的 ID。

韧性为智慧城市的关键应用,强化承受与复原能力

鉴于气候变化和自然灾害带来的影响日趋严重,为因应未来全球都市化趋势,许多国家在 5G 和物联网应用,将「韧性」(Resilience)纳为崭新重要议题,例如北京 2018 年底成为中国首个将「韧性城市建设」纳入城市总规划的城市,带起一波旧房加固改造、新房风险防治的商业应用;高通也与智慧城市委员会(Smart Cities Council)合作,提供资金协助遭玛丽亚飓风重创的波多黎各,于智慧交通与住宅、电信与 IT 基础设施等领域重点发展,为物联网于智慧城市的未来发展聚焦新方向。

韧性衡量指标与架构

智慧城市在韧性的提升,主要聚焦于强壮度(Robustness)和立即度(Rapidity),前者为当城市面对天灾、恐攻、社经与能源危机等不确定冲击时,将影响最小化的能力,后者则为状况发生后复原的时间。

国际间提倡城市韧性发展的机构里,以洛克菲勒基金会(Rockefeller Foundation)发起的非营利组织「100 韧性城市」(100 Resilient Cities,100RC)最知名。该组织以成员面临的挑战和方向,归纳出「健康与福利」、「经济与社会」、「基础建设与环境」与「领导与策略」等四方面建构而成的城市韧性架构,以更弹性、更坚强、更能整合等韧性特质,为城市解决相关议题的发展主轴。

物联网资安立法及智慧城市韧性应用分析

 城市韧性架构的四面向与内涵。

厂商动态与技术应用A. 急难防备以强化自然与人为资产为主

100RC 提出的韧性架构,与物联网应用最相关的当属「基础建设与环境」,多聚焦于强化自然和人为资产,新创厂商如 Jupiter 和 Coastal Risk 等,透过感测器收集数据配合卫星资料及模型推导,将气候变化风险资讯当作主要商品,提供百货、购物中心和高级住宅建商等,以利规划地点、建材及因应措施。

此市场形成的背后原因,一方面在于物联网感测器的普遍应用,一方面也因气候异常,造成过往的历史天气模型已不具预估性,投资者需更新更即时的工具评估土地长期风险。

B. 提升网路韧性确保关键性服务的持续

提升韧性应用方面,持续且可靠的资讯交流,以及确保关键性服务的持续相当重要,且与广大市民公共安全息息相关,例如美国官方单位急难救助网路管理局(The First Responder Network Authority)为了全面提升美国紧急通讯能力,打造专供初期应变人员(First Responders)使用的全国性无线宽频网路 FirstNet,以保障警察、消防队员与紧急医疗技术人员等,在处置突发事件时能进行顺畅沟通,并透过公私合作伙伴(Public-Private Partnership)机制,于 2017 年委由 AT&T 建设网路。

由于公共安全灾防宽频网路能提供火灾、洪水与犯罪等现场即时图像,为后方决策者提供丰富準确的现场信息,故为英国、澳洲与芬兰等先进国家的重要推动政策,也成为物联网强化城市韧性的重要基础。

此外,系统和路况资讯连接可提供到达灾难现场的最快路线。根据 NIST 公布清单,2018 年 4 月时仅 17 款设备通过认证可于 FirstNet 使用,截至 2019 年 2 月已发展多达 71 款装置,苹果和三星等大厂设备皆名列其中,且多以手机和平板为主。

小结

随着网路攻击事件影响範围和损害越趋扩大,物联网资安提升无疑是所有垂直应用的重要基础,政府订定法规一定程度上也希望成为官方认证,故如何让消费者对产品产生信任感,使「Internet of Thing」不致成为「Internet of Threats」,将是政府和厂商共同面临的课题。

因应未来法规和趋势,物联网装置相关厂商在产品设计阶段,应加速导入隐私和数据保护技术,售后亦应提供定期远端漏洞维护和管理,在获得政策性商机同时也呼应政府作为,藉以达到产官双赢局面。

另一方面,在物联网资安防护完善前提下,智慧城市的广大商机将是政府和厂商兵家必争之地。随着气候异常和天然灾害频传,提升建筑、社区乃至城市韧性将如买保险般普遍,而与现代生活密不可分的网路通讯,以及面临灾害第一时间反应的应急準备,将是物联网可多元应用的领域。

上一篇: 下一篇:
随机文章
热门文章