美国国家标准暨技术研究院(National Institute of Standards and Technology,NIST)于 6 月底发表报告,就物联网装置的关键安全问题提出定义与建议,以期成为产业于设备安全开发、身份管理、修复程式等项目的重要参考;与此同时,FIDO(Fast IDentity Online)等联盟亦针对物联网相关规范标准提供指南,协助用户全面性了解安全及隐私问题之际,也致力于提升产业共通性。
NIST 之 IoT 风险建议报告或成产业重要指南
现行许多企业已从物联网技术获益,然越发普及的设备带来的资安风险也带给企业更大冲击,故调查显示,企业愿意为提升安全性多支付较现行支出二成以上费用,用以添购更多设备,于此推力下,全球物联网安全支出至 2021 年将有望突破 30 亿美元。
鉴于物联网设备于企业资安问题的风险日益增加,NIST 甫发表的《物联网网络安全暨隐私风险管理考量要素报告》(Considerations for Managing IoT Cybersecurity and Privacy Risks (NISTR 8228)),旨在协助组织意识到大量物联网设备如何影响网络安全、隐私风险,以及与传统 IT 设备的不同。报告认为,物联网管理最重要的考虑要素应是保护设备安全、数据安全及在设备产品周期内保护个人隐私;为达到上述目标,NIST 建议企业应尽可能了解全数物联网设备风险因素,以及可能导致的挑战,必要时应调整组织策略和流程来解决相关问题,同时贯彻设备更新原则。
非监管机构的 NIST 提出报告虽仅为对物联网风险管理的见解,然观察 2019 年 3 月美国国会提出的物联网网络安全改进法案(Internet of Things Cybersecurity Improvement Act),便要求 NIST 须对物联网设备的安全性发表建议,并要求联邦-购买的任何物联网设备都必须遵守这些建议;考量此首份报告后,未来 NIST 将持续针对物联网资安议题发表一系列相关文件,或也将产生从-内部管制扩散到市场外部规范的连锁反应,进而成为厂商创建更安全的商业行为和消费产品的重要指标。
▲ NIST 建议之物联网资安风险辨识流程图。(Source:NIST;拓墣产业研究院整理,2019.7)
设备互通壮大生态圈,联盟标准可持续关注
从 2018 年底国际标准化组织(ISO)推行的 ISO / IEC 30141 提供物联网参考架构、2019 年初欧洲电信标准协会(ETSI)发表全球消费者物联网安全标准 TS 103645,乃至 2019 年 6 月底 NIST 的物联网资安风险要素报告,与物联网相关的管理、法规和标准如雨后春笋般展开,许多联盟也为物联网采用者发表相关指南,仅 2019 年便有 Wi-SUN 联盟提供于安全、可互操作性通过认证的物联网商品、NFC 论坛发表新规范改善物联网设备的连接性等。
致力于加强网络身份验证的 FIDO 联盟也于 2019 年 6 月底组建两个新的工作组,扩展物联网标准与认证,利用产业合作解决认证技术间缺乏互操作性的问题;新成立的工作组延续 FIDO 其他组别由业界主导的惯例,在物联网技术工作组部分由 ARM 及高通担任领导者,成员包括 Google、Intel、联想等。由产业成员为主要推动者,一定程度上能降低业界未来采用的成本与摩擦,同时也使标准更贴近市场符合所需,例如 ARM 与 Intel 便合作推出后期绑定(late binding)机制,确保物联网设备能安全正确连上云端;未来 FIDO 工作组制定标准后,即便与现行厂商采行解决方案不尽相同,然消除制造商部署差异的市场力量将会驱使众多企业参与其中,使整个物联网产业更具可扩展性及安全性。
FIDO 过往推行的标准普遍获得业界采用,例如 FIDO 2 于 2019 年 3 月由负责制定网络标准的万维网路联盟(World Wide Web Consortium,W3C),宣布成为正式的 Web 标准并获各大浏览器及 Android 平台支援;台厂方面如宏碁、华硕部分 NB 及电脑也预载该功能,神盾、奇邑科技等亦提供经 FIDO 认证的指纹辨识 IoT 产品。当弱密码持续成为物联网资安的头号风险,未来 FIDO 物联网的无密码认证标准估计将获台厂更普遍的采用,并与手机结合著重身份辨识的智慧家居、医疗穿戴装置及金融业为首要发展产业,同时带出生物辨识及安全模组的新商机。
▲ FIDO 之 IoT TWG 与 IDWG 介绍。(Source:FIDO;拓墣产业研究院整理,2019.7)
(首图来源:shutterstock)
