物聯網路安全對社會到底有多關鍵?
智慧型設備已成為我們進入數位界的門戶。 大眾都因其便利性而脫不開智慧型設備,但如果要指出誰從這項新技術的便利性得到最大的利益,那就分明是網路犯罪分子。 隨著物聯網路(IoT)的擴展,家用電器(如冰箱,洗衣機,門鎖,警報系統,煙霧偵測器,嬰兒監視器等)也跟著激增。 然而,這些設備也因儲存大量的私人資訊而吸引了網路分子的注意。
個人及組織所冒的風險
根據德國線上資料收集和視覺化平台 Statista,全球物聯網設備將在2030年達到290億台。 這數字可是接近78 億世界人口的四倍,而98% 的物聯網設備流量仍未加密。 只要一台物聯網設備存有漏洞就可能導致更廣泛的連接網路受到損害。 專家估計目前至少57%的設備易受攻擊。 很明顯的,目前的安全措施尚不夠完備。
為了保護每台設備並掩蓋所有可能的利用途徑,負責製造消費電子,汽車,網路商務等產業必須特別注意儲存高度敏感資訊的方式。 要知道,應用物聯網技術時,安全性不足可能會產生深遠的影響,不僅對組織,甚至對政府也是如此。 因此,從個人層面開始加強物聯網網路安全工作至關重要。
為什麼物聯網路安全到目前還沒有被重視?
實際上,大多數企業領導者對此風險心知肚明。 然而,要實施零信任的安全措施說來容易,卻頗具挑戰性。 組織仍然過度關注物聯網所的潛在便利性和短期節省,而製造商也因此把注意力投入在產品性能且忽略了安全性。
什麼是優良的物聯網安全實務?
國際網路安全的情況猶如大海和天空,呈現出多樣性而非完全同質性,其基礎設施各具特色。 在每個地理區域中,有獨特的規範和監管機制相互交織、動態演變。 因此,各地區的網路安全法規在有效性和適用範圍上有顯著差異。 此外,我們需要不斷改進現有框架,以抵禦不斷湧現的網路犯罪分子利用新技術所帶來的威脅。
歐洲:ETSI EN 303 645
作為先行者,歐盟針對消費性物聯網設備的基本網路安全要求發布了標準 ETSI EN 303 645。該標準於2020年6月發布,旨在應對網路安全專家經常遇到的針對智慧型裝置的攻擊,涵蓋範圍包括兒童玩具、嬰兒監視器、煙霧偵測器、門鎖、智慧攝影機、電視、揚聲器、可 穿戴式健康設備等。 、警報系統,甚至連網的家用電器。 從消費者在智慧冰箱中享用早餐的那一刻起,到他們設置鬧鐘併入睡後,消費者應受到製造商應在其產品中實施的 13 項安全和隱私要求和建議的保護:
- 沒有通用的預設密碼。
- 實施管理漏洞報告的流程。
- 時刻保持軟體更新。
- 安全地儲存敏感的安全參數。
- 安全地溝通。
- 盡量除掉暴露的攻擊面。
- 確保軟體完整性。
- 確保個人資料安全。
- 使系統能夠抵禦斷電。
- 檢查系統遙測數據。
- 使用戶可輕鬆刪除個人資料。
- 簡單化設備的安裝和維護程序。
- 驗證所有輸入的資料。
遵守上述基本安全措施只是無線電設備指令 (RED) 要求的一部分,但能助於製造商遵守一般資料保護規範 (GDPR) 等隱私權要求。 ETSI EN 303 645 不僅為物聯網設備提供基礎水準保證,也為未來物聯網認證計畫(例如歐盟網路安全法案 (CSA))奠定了基礎。
因此,預計到 2025 年將強制要求全面遵守。 儘管該標準無法對現有的每一種網路犯罪提供 100% 的保護,但它仍然可以幫助製造商在防止網路犯罪分子發動的攻擊邁出一大步。 如今,ETSI EN 303 645 已獲得全球認可,並被產業專家、學者、測試機構和國際政府機構採用。 為了與私營部門協調一致,也制定了測試規範 ETSI TS 103 701,以幫助製造商、供應商和實施者將核准的評估方法應用到其流程中。 ETSI 預計將發布一套新的要求,並將在不久的將來取代 ETSI EN 303 645。
與 GRL 共同維護我們互聯的未來
利用電信和可互通設備的力量來應對物聯網網路中日益嚴峻的挑戰。 GRL 的全套物聯網設備安全測試服務由經驗豐富的工程師負責運營,並因其設備齊全的設施、高素質的人員和技術能力而受到信譽良好的政府和組織(NABL - 國家測試和校準實驗室認可 委員會)的廣泛認可。
您理想產品的實現僅幾步之遙。 想根據 ETSI EN 303 645 標準對您改善您的製造流程,並受到 IoT 設備進的各自評估以及有關測試服務和解決方案的推薦,請隨時聯絡我們。
關於作者
Sanjay K Sharma
副總監 - 網路安全服務
Sanjay K Sharma 負責根據各種國家、國際和行業標準開發網路安全服務並建立評估設施。 支援物聯網和數位連接技術策略。