物聯網資安立法及智慧城市韌性應用分析

作者 | 發布日期 2019 年 04 月 17 日 8:15 | 分類 物聯網 , 科技政策 , 科技生活 follow us in feedly

2019 年物聯網發展延續 2018 年熱潮,從與 AI、5G、雲端的結合,到數位孿生、數據經濟應用,乃至道德、資安、民主化的規範面等,更加成熟聚焦於衍生應用和資安基礎的建立。若以政策法規、市場需求與技術發展為觀察指標,物聯網在 2019 年持續多元發展,應用更實務落地,為廠商帶來實質效益,也為城市帶來防護能耐。



資安為萬物連網重要基石,法規制定成趨勢

近年大規模物聯網網路攻擊事件頻傳,各國逐漸由民間自主應對轉為官方立法防護,例如美國即將問世的「物聯網設備安全測試準則」、歐盟預計 2019 年通過的《數位安全法》(Cybersecurity Act)、日本《通信事業法》修正等。廠商普遍對相關立法持正面態度,部分廠商也順應相關趨勢,調整產品設計,期望透過產官合作,讓民眾對物聯網應用更具信心。

美國物聯網資安要求由政府內部延伸至民間廠商

美國 2017 年提出「創新發展與物聯網法案」(Developing Innovation and Growing the Internet of Things Act,DIGIT ACT),研擬物聯網主要程序架構和制定頻譜起,近年持續就物聯網資安部分訂定相關法規,例如規範政府部門採購 IoT 裝置的「IoT 網路安全促進法案」(IoT Cybersecurity Improvement Act);由商務部建立機制並鼓勵廠商對 IoT 商品資安、加密、分級標籤認證的「網路盾牌法案」(Cyber Shield Act);美國 NIST 提出的「網路安全框架」(Cybersecurity Framework,CSF)與即將問世的「物聯網設備安全測試準則」等。

隨著物聯網網路攻擊事件此起彼落,美國政府決定以法規防堵資安疑慮,例如加州 2018 年通過《裝置資安法》(Title 1.81.26. Security of Connected Devices),相較於過往法規的鼓勵性質,該法明文規定要求聯網裝置製造商必須設立合理的安全措施,且每個裝置需配有一組獨一無二的預設密碼,或要求使用者於第一次使用前設定新的身分認證方式。

日本修法將物聯網裝置安全定為廠商義務

日本政府 2018 年底至 2019 年初頻頻針對物聯網資安修法,原因或與 2018 年南韓平昌冬奧開幕式遭俄羅斯駭客攻擊有關,使日本政府全力備戰 2020 年東京奧運。主管機關總務省 2019 年 1 月底修正《電氣通信事業法》,於 2020 年 4 月起要求聯網終端設備須具防非法登錄功能,例如能切斷外部控制、要求變更初期預設 ID 和密碼、可時常更新軟體等,且唯有滿足標準、獲得認定的設備才能在日本上市。此次電信法調整也要求當非法登錄造成「3 萬用戶超過 12 小時」或「100 萬用戶超過 2 小時」故障時,營運商需將該故障視為重大事故向總務省呈報,違者將受行政處分。

此外,日本自 2019 年 2 月底啟動 NOTICE(National Operation Towards IoT Clean Environment)計畫,允許國立情報通信研究機構(National Institute of Information and Communications Technology,NICT)人員可於監督下,嘗試以產品原廠密碼和弱密碼(例如 123456 或 admin 等)登入一般家庭的私人 IoT 設備,並把可登入名單交給相關網路服務商,提醒消費者保護該裝置。

廠商立場與產品調適

A. 主流廠商樂觀其成,規範細節盼再釐清

政策制定和法規頒布往往牽動廠商動態,包括成本是否因此墊高、標準是否國際互通等;而法規政策也會對一般大眾造成影響,例如日本 NOTICE 計畫公布後飽受社會抨擊,認為政府試圖登入私人物聯網設備的行為本質與駭客無異,且蒐集的數據與名單恐引起另一波網路犯罪和詐欺。

觀察此次物聯網相關資安法案規劃過程和制定結果,雖已將影響範圍從數位服務商擴大到產品製造廠,然因資安是物聯網發展的關鍵基礎,唯透過政府和廠商共同對民眾建立信任感,方能支持後續的持續應用。相較於 2018 年中旬《加州隱私法》(California Consumer Privacy Act)制定後,造成科技大廠抵抗和遊說新法,多數廠商對物聯網資安法規普遍持正面態度。

思科(Cisco)對 NIST 制定的 CSF,便認為可為組織廠商提供一致標準,且協助辨識需管控的風險,也建議 NIST 發展隱私框架(Privacy Framework)時,可大幅依循 CSF 的制定原則,進而提高兩框架的相互操作性和包容性,包含蘋果、IBM、微軟、賽門鐵克與趨勢科技等商業軟體聯盟(Business Software Alliance,BSA),也鼓勵成員就歐盟數位安全法草案展開相關產品、服務與流程的自我評估。

全球物聯網資安法規雖陸續頒行,然部分內容尚持續補強中,對新法和現行計畫的替代問題、法規依循順序與未來認證計畫的認可範圍等,都是廠商未來適法調整的重點。

B. 資安廠商呼應政策,針對源頭進行設計

物聯網資安法規透露出政府對此議題的看重,相關細則雖持續發展,但就原則而言,頗有數位隱私不僅是數位服務商的責任,甚至需要做到源頭管理和裝置需具備獨一無二辨識性的意味,是以相關廠商也呼應政策走向產品調適,例如 Gemalto(金雅拓)2019 年初發表新模組,將 eSIM 整合到 Cinterion LTE-M IoT 模組,幫助 AT&T 用戶強化物聯網連接安全。

製造過程將 SIM 深度整合到模組,有助於提高耐用性、耐熱性與耐振動能力,且 eSIM 可在物聯網解決方案長期使用的過程中,透過簡易更新持續加強安全性,同時內建防篡改機制,保護設備免受不斷變化的網路安全威脅,設備製造商也無需部署自己的安全生產設施。此外,該模組亦可添加嵌入式安全晶片(eSE)功能,將數據存放在高度安全的資料庫,僅限獲得授權的應用程式和人員共享,提供額外安全保護。

Thales e-Security 針對應用管理資料分析、資料收集儲存、通訊網路 IoT 設備等 3 項物聯網架構元素,發展個別資安對策,針對受保護的資料和系統,可限制為只有授權使用者和設備能存取;為使裝置能安全連接物聯網,每個設備都需要特有的辨識憑證,發展的硬體安全模組 nCipher HSM,在 IoT 設備的製造和運作中內建硬體信任根(Root of Trust),提供更安全的系統環境並支援防護應用程式,讓製造商能使用加密處理、金鑰保護與金鑰管理,為每個設備提供獨一無二的 ID。

韌性為智慧城市的關鍵應用,強化承受與復原能力

鑑於氣候變化和自然災害帶來的影響日趨嚴重,為因應未來全球都市化趨勢,許多國家在 5G 和物聯網應用,將「韌性」(Resilience)納為嶄新重要議題,例如北京 2018 年底成為中國首個將「韌性城市建設」納入城市總規劃的城市,帶起一波舊房加固改造、新房風險防治的商業應用;高通也與智慧城市委員會(Smart Cities Council)合作,提供資金協助遭瑪麗亞颶風重創的波多黎各,於智慧交通與住宅、電信與 IT 基礎設施等領域重點發展,為物聯網於智慧城市的未來發展聚焦新方向。

韌性衡量指標與架構

智慧城市在韌性的提升,主要聚焦於強壯度(Robustness)和立即度(Rapidity),前者為當城市面對天災、恐攻、社經與能源危機等不確定衝擊時,將影響最小化的能力,後者則為狀況發生後復原的時間。

國際間提倡城市韌性發展的機構裡,以洛克菲勒基金會(Rockefeller Foundation)發起的非營利組織「100 韌性城市」(100 Resilient Cities,100RC)最知名。該組織以成員面臨的挑戰和方向,歸納出「健康與福利」、「經濟與社會」、「基礎建設與環境」與「領導與策略」等四方面建構而成的城市韌性架構,以更彈性、更堅強、更能整合等韌性特質,為城市解決相關議題的發展主軸。

▲ 城市韌性架構的四面向與內涵。(Source:100RC;拓墣產業研究院整理,2019.4)

廠商動態與技術應用

A. 急難防備以強化自然與人為資產為主

100RC 提出的韌性架構,與物聯網應用最相關的當屬「基礎建設與環境」,多聚焦於強化自然和人為資產,新創廠商如 Jupiter 和 Coastal Risk 等,透過感測器收集數據配合衛星資料及模型推導,將氣候變化風險資訊當作主要商品,提供百貨、購物中心和高級住宅建商等,以利規劃地點、建材及因應措施。

此市場形成的背後原因,一方面在於物聯網感測器的普遍應用,一方面也因氣候異常,造成過往的歷史天氣模型已不具預估性,投資者需更新更即時的工具評估土地長期風險。

B. 提升網路韌性確保關鍵性服務的持續

提升韌性應用方面,持續且可靠的資訊交流,以及確保關鍵性服務的持續相當重要,且與廣大市民公共安全息息相關,例如美國官方單位急難救助網路管理局(The First Responder Network Authority)為了全面提升美國緊急通訊能力,打造專供初期應變人員(First Responders)使用的全國性無線寬頻網路 FirstNet,以保障警察、消防隊員與緊急醫療技術人員等,在處置突發事件時能進行順暢溝通,並透過公私合作夥伴(Public-Private Partnership)機制,於 2017 年委由 AT&T 建設網路。

由於公共安全災防寬頻網路能提供火災、洪水與犯罪等現場即時圖像,為後方決策者提供豐富準確的現場信息,故為英國、澳洲與芬蘭等先進國家的重要推動政策,也成為物聯網強化城市韌性的重要基礎。

此外,系統和路況資訊連接可提供到達災難現場的最快路線。根據 NIST 公布清單,2018 年 4 月時僅 17 款設備通過認證可於 FirstNet 使用,截至 2019 年 2 月已發展多達 71 款裝置,蘋果和三星等大廠設備皆名列其中,且多以手機和平板為主。

小結

隨著網路攻擊事件影響範圍和損害越趨擴大,物聯網資安提升無疑是所有垂直應用的重要基礎,政府訂定法規一定程度上也希望成為官方認證,故如何讓消費者對產品產生信任感,使「Internet of Thing」不致成為「Internet of Threats」,將是政府和廠商共同面臨的課題。

因應未來法規和趨勢,物聯網裝置相關廠商在產品設計階段,應加速導入隱私和數據保護技術,售後亦應提供定期遠端漏洞維護和管理,在獲得政策性商機同時也呼應政府作為,藉以達到產官雙贏局面。

另一方面,在物聯網資安防護完善前提下,智慧城市的廣大商機將是政府和廠商兵家必爭之地。隨著氣候異常和天然災害頻傳,提升建築、社區乃至城市韌性將如買保險般普遍,而與現代生活密不可分的網路通訊,以及面臨災害第一時間反應的應急準備,將是物聯網可多元應用的領域。

(首圖來源:shutterstock)

關鍵字: , , , ,