美國國家標準暨技術研究院(National Institute of Standards and Technology,NIST)於 6 月底發表報告,就物聯網裝置的關鍵安全問題提出定義與建議,以期成為產業於設備安全開發、身分管理、修復程式等項目的重要參考;與此同時,FIDO(Fast IDentity Online)等聯盟亦針對物聯網相關規範標準提供指南,協助用戶全面性了解安全及隱私問題之際,也致力於提升產業共通性。
NIST 之 IoT 風險建議報告或成產業重要指南
現行許多企業已從物聯網技術獲益,然越發普及的設備帶來的資安風險也帶給企業更大衝擊,故調查顯示,企業願意為提升安全性多支付較現行支出二成以上費用,用以添購更多設備,於此推力下,全球物聯網安全支出至 2021 年將有望突破 30 億美元。
鑑於物聯網設備於企業資安問題的風險日益增加,NIST 甫發表的《物聯網網路安全暨隱私風險管理考量要素報告》(Considerations for Managing IoT Cybersecurity and Privacy Risks (NISTR 8228)),旨在協助組織意識到大量物聯網設備如何影響網路安全、隱私風險,以及與傳統 IT 設備的不同。報告認為,物聯網管理最重要的考慮要素應是保護設備安全、數據安全及在設備產品週期內保護個人隱私;為達到上述目標,NIST 建議企業應盡可能了解全數物聯網設備風險因素,以及可能導致的挑戰,必要時應調整組織策略和流程來解決相關問題,同時貫徹設備更新原則。
非監管機構的 NIST 提出報告雖僅為對物聯網風險管理的見解,然觀察 2019 年 3 月美國國會提出的物聯網網路安全改進法案(Internet of Things Cybersecurity Improvement Act),便要求 NIST 須對物聯網設備的安全性發表建議,並要求聯邦政府購買的任何物聯網設備都必須遵守這些建議;考量此首份報告後,未來 NIST 將持續針對物聯網資安議題發表一系列相關文件,或也將產生從政府內部管制擴散到市場外部規範的連鎖反應,進而成為廠商創建更安全的商業行為和消費產品的重要指標。
▲ NIST 建議之物聯網資安風險辨識流程圖。(Source:NIST;拓墣產業研究院整理,2019.7)
設備互通壯大生態圈,聯盟標準可持續關注
從 2018 年底國際標準化組織(ISO)推行的 ISO / IEC 30141 提供物聯網參考架構、2019 年初歐洲電信標準協會(ETSI)發表全球消費者物聯網安全標準 TS 103645,乃至 2019 年 6 月底 NIST 的物聯網資安風險要素報告,與物聯網相關的管理、法規和標準如雨後春筍般展開,許多聯盟也為物聯網採用者發表相關指南,僅 2019 年便有 Wi-SUN 聯盟提供於安全、可互操作性通過認證的物聯網商品、NFC 論壇發表新規範改善物聯網設備的連接性等。
致力於加強網路身分驗證的 FIDO 聯盟也於 2019 年 6 月底組建兩個新的工作組,擴展物聯網標準與認證,利用產業合作解決認證技術間缺乏互操作性的問題;新成立的工作組延續 FIDO 其他組別由業界主導的慣例,在物聯網技術工作組部分由 ARM 及高通擔任領導者,成員包括 Google、Intel、聯想等。由產業成員為主要推動者,一定程度上能降低業界未來採用的成本與摩擦,同時也使標準更貼近市場符合所需,例如 ARM 與 Intel 便合作推出後期綁定(late binding)機制,確保物聯網設備能安全正確連上雲端;未來 FIDO 工作組制定標準後,即便與現行廠商採行解決方案不盡相同,然消除製造商部署差異的市場力量將會驅使眾多企業參與其中,使整個物聯網產業更具可擴展性及安全性。
FIDO 過往推行的標準普遍獲得業界採用,例如 FIDO 2 於 2019 年 3 月由負責制定網路標準的全球資訊網路聯盟(World Wide Web Consortium,W3C),宣布成為正式的 Web 標準並獲各大瀏覽器及 Android 平台支援;台廠方面如宏碁、華碩部分 NB 及電腦也預載該功能,神盾、奇邑科技等亦提供經 FIDO 認證的指紋辨識 IoT 產品。當弱密碼持續成為物聯網資安的頭號風險,未來 FIDO 物聯網的無密碼認證標準估計將獲台廠更普遍的採用,並與手機結合著重身分辨識的智慧家居、醫療穿戴裝置及金融業為首要發展產業,同時帶出生物辨識及安全模組的新商機。
▲ FIDO 之 IoT TWG 與 IDWG 介紹。(Source:FIDO;拓墣產業研究院整理,2019.7)
(首圖來源:shutterstock)
