2019 年物联网发展延续 2018 年热潮,从与 AI、5G、云端的结合,到数位孪生、数据经济应用,乃至道德、资安、民主化的规范面等,更加成熟聚焦于衍生应用和资安基础的建立。若以政策法规、市场需求与技术发展为观察指标,物联网在 2019 年持续多元发展,应用更实务落地,为厂商带来实质效益,也为城市带来防护能耐。
资安为万物连网重要基石,法规制定成趋势
近年大规模物联网网络攻击事件频传,各国逐渐由民间自主应对转为官方立法防护,例如美国即将问世的“物联网设备安全测试准则”、欧盟预计 2019 年通过的《数位安全法》(Cybersecurity Act)、日本《通信事业法》修正等。厂商普遍对相关立法持正面态度,部分厂商也顺应相关趋势,调整产品设计,期望透过产官合作,让民众对物联网应用更具信心。
美国物联网资安要求由-内部延伸至民间厂商
美国 2017 年提出“创新发展与物联网法案”(Developing Innovation and Growing the Internet of Things Act,DIGIT ACT),研拟物联网主要程序架构和制定频谱起,近年持续就物联网资安部分订定相关法规,例如规范-部门采购 IoT 装置的“IoT 网络安全促进法案”(IoT Cybersecurity Improvement Act);由商务部建立机制并鼓励厂商对 IoT 商品资安、加密、分级标签认证的“网络盾牌法案”(Cyber Shield Act);美国 NIST 提出的“网络安全框架”(Cybersecurity Framework,CSF)与即将问世的“物联网设备安全测试准则”等。
随着物联网网络攻击事件此起彼落,美国-决定以法规防堵资安疑虑,例如加州 2018 年通过《装置资安法》(Title 1.81.26. Security of Connected Devices),相较于过往法规的鼓励性质,该法明文规定要求联网装置制造商必须设立合理的安全措施,且每个装置需配有一组独一无二的预设密码,或要求使用者于第一次使用前设定新的身份认证方式。
日本修法将物联网装置安全定为厂商义务
日本- 2018 年底至 2019 年初频频针对物联网资安修法,原因或与 2018 年韩国平昌冬奥开幕式遭俄罗斯骇客攻击有关,使日本-全力备战 2020 年东京奥运。主管机关总务省 2019 年 1 月底修正《电气通信事业法》,于 2020 年 4 月起要求联网终端设备须具防非法登录功能,例如能切断外部控制、要求变更初期预设 ID 和密码、可时常更新软件等,且唯有满足标准、获得认定的设备才能在日本上市。此次电信法调整也要求当非法登录造成“3 万用户超过 12 小时”或“100 万用户超过 2 小时”故障时,营运商需将该故障视为重大事故向总务省呈报,违者将受行政处分。
此外,日本自 2019 年 2 月底启动 NOTICE(National Operation Towards IoT Clean Environment)计划,允许国立情报通信研究机构(National Institute of Information and Communications Technology,NICT)人员可于监督下,尝试以产品原厂密码和弱密码(例如 123456 或 admin 等)登入一般家庭的私人 IoT 设备,并把可登入名单交给相关网络服务商,提醒消费者保护该装置。
厂商立场与产品调适
A. 主流厂商乐观其成,规范细节盼再厘清
政策制定和法规颁布往往牵动厂商动态,包括成本是否因此垫高、标准是否国际互通等;而法规政策也会对一般大众造成影响,例如日本 NOTICE 计划公布后饱受社会抨击,认为-试图登入私人物联网设备的行为本质与骇客无异,且搜集的数据与名单恐引起另一波网络犯罪和诈欺。
观察此次物联网相关资安法案规划过程和制定结果,虽已将影响范围从数位服务商扩大到产品制造厂,然因资安是物联网发展的关键基础,唯透过-和厂商共同对民众建立信任感,方能支持后续的持续应用。相较于 2018 年中旬《加州隐私法》(California Consumer Privacy Act)制定后,造成科技大厂抵抗和游说新法,多数厂商对物联网资安法规普遍持正面态度。
思科(Cisco)对 NIST 制定的 CSF,便认为可为组织厂商提供一致标准,且协助辨识需管控的风险,也建议 NIST 发展隐私框架(Privacy Framework)时,可大幅依循 CSF 的制定原则,进而提高两框架的相互操作性和包容性,包含苹果、IBM、微软、赛门铁克与趋势科技等商业软件联盟(Business Software Alliance,BSA),也鼓励成员就欧盟数位安全法草案展开相关产品、服务与流程的自我评估。
全球物联网资安法规虽陆续颁行,然部分内容尚持续补强中,对新法和现行计划的替代问题、法规依循顺序与未来认证计划的认可范围等,都是厂商未来适法调整的重点。
B. 资安厂商呼应政策,针对源头进行设计
物联网资安法规透露出-对此议题的看重,相关细则虽持续发展,但就原则而言,颇有数位隐私不仅是数位服务商的责任,甚至需要做到源头管理和装置需具备独一无二辨识性的意味,是以相关厂商也呼应政策走向产品调适,例如 Gemalto(金雅拓)2019 年初发表新模组,将 eSIM 整合到 Cinterion LTE-M IoT 模组,帮助 AT&T 用户强化物联网连接安全。
制造过程将 SIM 深度整合到模组,有助于提高耐用性、耐热性与耐振动能力,且 eSIM 可在物联网解决方案长期使用的过程中,透过简易更新持续加强安全性,同时内建防篡改机制,保护设备免受不断变化的网络安全威胁,设备制造商也无需部署自己的安全生产设施。此外,该模组亦可添加嵌入式安全芯片(eSE)功能,将数据存放在高度安全的数据库,仅限获得授权的应用程序和人员共享,提供额外安全保护。
Thales e-Security 针对应用管理资料分析、资料收集储存、通讯网络 IoT 设备等 3 项物联网架构元素,发展个别资安对策,针对受保护的资料和系统,可限制为只有授权使用者和设备能存取;为使装置能安全连接物联网,每个设备都需要特有的辨识凭证,发展的硬件安全模组 nCipher HSM,在 IoT 设备的制造和运作中内建硬件信任根(Root of Trust),提供更安全的系统环境并支援防护应用程序,让制造商能使用加密处理、金钥保护与金钥管理,为每个设备提供独一无二的 ID。
韧性为智慧城市的关键应用,强化承受与复原能力
鉴于气候变化和自然灾害带来的影响日趋严重,为因应未来全球都市化趋势,许多国家在 5G 和物联网应用,将“韧性”(Resilience)纳为崭新重要议题,例如北京 2018 年底成为中国首个将“韧性城市建设”纳入城市总规划的城市,带起一波旧房加固改造、新房风险防治的商业应用;高通也与智慧城市委员会(Smart Cities Council)合作,提供资金协助遭玛丽亚飓风重创的波多黎各,于智慧交通与住宅、电信与 IT 基础设施等领域重点发展,为物联网于智慧城市的未来发展聚焦新方向。
韧性衡量指标与架构
智慧城市在韧性的提升,主要聚焦于强壮度(Robustness)和立即度(Rapidity),前者为当城市面对天灾、恐攻、社经与能源危机等不确定冲击时,将影响最小化的能力,后者则为状况发生后复原的时间。
国际间提倡城市韧性发展的机构里,以洛克菲勒基金会(Rockefeller Foundation)发起的非营利组织“100 韧性城市”(100 Resilient Cities,100RC)最知名。该组织以成员面临的挑战和方向,归纳出“健康与福利”、“经济与社会”、“基础建设与环境”与“领导与策略”等四方面建构而成的城市韧性架构,以更弹性、更坚强、更能整合等韧性特质,为城市解决相关议题的发展主轴。
▲ 城市韧性架构的四面向与内涵。(Source:100RC;拓墣产业研究院整理,2019.4)
厂商动态与技术应用
A. 急难防备以强化自然与人为资产为主
100RC 提出的韧性架构,与物联网应用最相关的当属“基础建设与环境”,多聚焦于强化自然和人为资产,新创厂商如 Jupiter 和 Coastal Risk 等,透过感测器收集数据配合卫星资料及模型推导,将气候变化风险资讯当作主要商品,提供百货、购物中心和高级住宅建商等,以利规划地点、建材及因应措施。
此市场形成的背后原因,一方面在于物联网感测器的普遍应用,一方面也因气候异常,造成过往的历史天气模型已不具预估性,投资者需更新更即时的工具评估土地长期风险。
B. 提升网络韧性确保关键性服务的持续
提升韧性应用方面,持续且可靠的资讯交流,以及确保关键性服务的持续相当重要,且与广大市民公共安全息息相关,例如美国官方单位急难救助网络管理局(The First Responder Network Authority)为了全面提升美国紧急通讯能力,打造专供初期应变人员(First Responders)使用的全国性无线宽频网络 FirstNet,以保障警察、消防队员与紧急医疗技术人员等,在处置突发事件时能进行顺畅沟通,并透过公私合作伙伴(Public-Private Partnership)机制,于 2017 年委由 AT&T 建设网络。
由于公共安全灾防宽频网络能提供火灾、洪水与犯罪等现场即时图像,为后方决策者提供丰富准确的现场信息,故为英国、澳洲与芬兰等先进国家的重要推动政策,也成为物联网强化城市韧性的重要基础。
此外,系统和路况资讯连接可提供到达灾难现场的最快路线。根据 NIST 公布清单,2018 年 4 月时仅 17 款设备通过认证可于 FirstNet 使用,截至 2019 年 2 月已发展多达 71 款装置,苹果和三星等大厂设备皆名列其中,且多以手机和平板为主。
小结
随着网络攻击事件影响范围和损害越趋扩大,物联网资安提升无疑是所有垂直应用的重要基础,-订定法规一定程度上也希望成为官方认证,故如何让消费者对产品产生信任感,使“Internet of Thing”不致成为“Internet of Threats”,将是-和厂商共同面临的课题。
因应未来法规和趋势,物联网装置相关厂商在产品设计阶段,应加速导入隐私和数据保护技术,售后亦应提供定期远端漏洞维护和管理,在获得政策性商机同时也呼应-作为,藉以达到产官双赢局面。
另一方面,在物联网资安防护完善前提下,智慧城市的广大商机将是-和厂商兵家必争之地。随着气候异常和天然灾害频传,提升建筑、社区乃至城市韧性将如买保险般普遍,而与现代生活密不可分的网络通讯,以及面临灾害第一时间反应的应急准备,将是物联网可多元应用的领域。
(首图来源:shutterstock)
