UL:企业要抢进IoT市场,信息安全合规需正视

来源:爱集微 #信息安全# #5G#
2w

芯科技消息(文/方中同)随着5G进入商转时代,万物联网的生活受到各界极大瞩目。根据Technavio研究数据指出,智能家庭渗透率从2017年的14.9%,预计至2021年将跃升为60.7%。但当所有设备都能连上网时,就可能成为黑客入侵的缺口,安全与风险管理认证公司UL近日在其讲座上提到,要抢入IoT市场,“信息安全合规”必须正视,也催生各国政府陆续针对IoT信息安全问题立法与订定强制规范。

万物联网时代从扫地机器人、智能冰箱、智能烤箱到近期出现的智能户外割草机等,通过远端遥控家电,能搜集资料、上传云端,物联网带来的“家庭智慧化”已逐渐成形。

然而,时有所闻的信息安全问题也就造成难以估计的损失与企业灾害,如:银行自动柜员机的自动吐钞、科技大厂因骇客攻击而导致生产链断线等。智能且便捷的背后是安全的质疑,间接影响消费者意识抬头,超过7成的00后期待制造商应执行足够的信息安全评估。

UL业务发展经理薛正指出,为因应消费者对信息安全问题的重视与要求,许多渠道、品牌也转而向ODM、OEM厂商确认连网设备的安全性,也连带促使各国政府针对IoT信息安全问题立法与订定强制规范,如欧盟已推行的《欧盟GDPR和欧盟网络安全法案》、2020年即将实施的《加州及奥勒冈州 IoT设备安全法案》、美国国会提出的《美国IoT网络安全改善法》草案、中国提出的《中国物联网安全国家标准》。

但企业要达到“信息安全合规”仍是当前难题。以美加州及奥勒冈州即将推行的《IoT设备安全法案》为例,其要求IoT设备最基本的安全需求,包含不可以预设密码 (Default Password)、第一次启用时须强制变更密码…等,法令要求的是最终成效,并未详细说明设计、设备设定等过程该如何遵循。

他进一步指出,目前制造商对于信息安全防护普遍面临的四大挑战包括安全信息不透明、安全性难量化、现有标准的挑战以及动态安全风险存在等。UL认为,IoT设备面临的信息安全评估与问题,从过往的案例可发现大多数攻击是无方向性且大规模执行,如2016年美国数以百万计的网络摄影机集中攻击DNS服务商,入侵方式建立在常见弱点和已知的连网漏洞上,把关信息安全,势必需要解决常见的攻击与已知漏洞。

对制造商而言,面对这些挑战,若有第3方认证单位能提供一个公信、快速、易于采用、完整考量所有系统功能、亦接手后续持续评估,并辅以低成本、易于消费者识别产品信息安全能力的标志,将会较有采纳意愿。

UL强调,因应信息安全威胁的快速变化,信息安全防御应追求“80/20 法则”,制造商需将防御系统维持在缓解常见错误和常见攻击的漏洞上,并快速达成有意义的安全评估,共同追求“相对安全”,才是把关IoT安全的法则。

UL 身份识别管理安全部经理薛正。图片来源:UL

(校对/holly)

责编: 编辑部
来源:爱集微 #信息安全# #5G#
THE END

*集微网拥有“芯科技”内容的专有使用权,未经许可,严禁转载。

关闭
加载

PDF 加载中...