欢迎来到中国物联网智库-中国通信工业协会物联网应用分会!

坐享智能生活之余 亦需严防物联网安全威胁

来源:中国通信工业协会物联网分会   | 发表时间:2017 年 5 月 9 日

为驾驶人提供安全的驾驶辅助,向来是车联网发展目的之一;殊不知水能载舟、亦可覆舟,倘若车载系统遭黑客入侵,反倒可能导致驾驶人陷入致命危机。

 
综合各家IT大厂、知名研究机构的预测,从现在开始迄至2020年,将会是第一波的物联网(IoT)爆发期,单就每一个人而论,身上至少拥有3~4个物件具连网能力,共计在全球造就500亿个连网装置,因而汇聚为庞大商机,也难免成为黑客觊觎的目标。
 
去年世界经济论坛(WEF),发布“2016年全球风险报告”,个中有一些话语相当发人深省,包括“互联网已开启一片新的战争领域,与网络对接乃至相关的一切,皆可被突破”,及“物理距离已无法提供足够保护,大量技术存在两面性,许多重要的基础设施为私有资产,具有难于追踪的特性,使得我们甚难掌握攻击活动的来源”。
 
更重要的,WEF的全球风险报告,有一席话犹如当头棒喝,足以让人看了冷汗直流,意即“对于技术方案的认知匮乏,及应对相关风险的处理能力低落,特别在于网络风险、或关键性信息基础设施破坏所带来的系统性连锁效应,极可能为国家经济、各个经济组织甚或全球企业,带来深远影响”。
 
综上所述,根据WEF邀集全球数百位顶尖专家的认定,例如大规模网络攻击、数据造假与偷窃等安全危机,恐将致令关键性信息基础设施与网络为之崩溃,因此网络安全威胁对于地球环境的杀伤力,堪与通货紧缩、气候变迁、粮食危机、传染性疾病扩散、大规模杀伤性武器、国家间冲突等其他危害项目等量齐观;而这也是WEF首度将网络攻击的严重程度,拉升至如此高的层级。

 
网络攻击风险  为国家与企业带来深远影响
 
或许有人认为,WEF似乎有些小题大作、危言耸听,然而一旦仔细斟酌其为何将网络攻击列为如此严重的风险,便不难看出个中蹊跷。其中最根本的症结点,乃在于人类对于网络的依赖性与时俱进,甚至已经“积重难返”,使得网络攻击可能带来的潜在风险,一天比一天还大,尤其伴随物联网带来人与机器之间更紧密的沟通联系,更大幅强化了网络攻击机率、以及对整个网络生态系统的潜在连锁效应;在此前提下,美国已将网络攻击风险视为头号威胁,另外包括德国、日本、瑞士乃至新加坡等多个国家,亦把网络攻击列为企业领导者最关注的顶级威胁,似乎并不为过。
 
进入物联网时代,不仅每个人身上的手机、手表、手环、眼镜、鞋子、衣服甚至皮包,都将逐一转化为连网对象,少则3~4个、多则7~8个,这还不打紧,每个家庭当中,尚有计算机、电视、冰箱、电饭锅、空调、电表、燃气表、水表、智能插座等连网对象,光是这一些,看在黑客的眼里,已然称得上是值得怦然心动的题材了,更何况在户外还有车联网、智能工厂、智能零售、智能医疗、区块链(Blockchain)、智慧城市、智能电网…等等极其丰富的“商机”。
 
因此尽管物联网因为具备更多的方便性、移动性与创新科技,从而教人兴奋不已,但它形同两面刃,也可谓孕育网络犯罪的顶级天堂,着实值得人们高度警惕。
 
事实上,物联网时代可能引爆的安全威胁,甚至会比过往PC时代还要来得巨大,主要是因为,深究绝大多数物联网装置的设计目的,通常都起源于特定功能,讲究轻巧便携与低能耗,与PC包山包海的特性大不相同,正因为如此,物联网装置体态相对狭小,并不具有太强大的运算能力与储存空间,所以意欲在设备本身融入安全机制,难度实在不小;举例来说,要让设备在接收或传输数据时,进行双向认验证,便有现实上的困难性。
 
物联网安全与实用之间  犹难建立最佳平衡
 
所以已经有不少安全专家,对于如何在物联网的安全与实用之间找到最佳平衡,感到不甚乐观,也因而忧心忡忡。其中最让安全专家深感忧虑的,便是车联网安全,只因为此事与多数民众的日常生活息息相关。
 
回顾近3年来,已经不只一次,出现知名车厂因为软件漏洞而发出召回令,例如某次是因为车上的触控屏幕存在着严重弱点,可能让黑客有机可乘,针对该车辆进行远程控制;事实上,某个以C字眼开头的知名系列跑车,其安全系统不仅止于出现漏洞,而是已经遭到黑客攻破,可轻易从远程操控其煞车系统,试想,由于煞车系统攸关人命,这是多么让人惊惧的事实?
 
除此之外,个人资料与隐私的安全,也将因物联网时代的到来,因而面临前所未见的巨大考验。综观时下运动达人,例如运动手环,计步器与移动运动设备,都已成为时尚必备品,尽管这些达人对于运动普遍在行,但隔行如隔山,对信息安全风险意识,普遍并不到位,便可能使得诸多风险油然而生。
 
全球闻名的第三方信息安全检测机构AV-Test,过去即特别测试了个人健身数据,如何从这些设备传递至智能手机与云端服务器,也同时测试手机健身追踪应用的安全性。
 
结果显示,用户的运动数据皆会被记录,并透过随身智能手机上的APP进行分析,从而一目了然地反应该使用者的健身情况,细数个中潜藏的安全风险,则包括了数据传输过程的安全性,黑客不管是透过途中的拦截,或预先窜改手机应用程序,有许多途径,都能帮助他们如愿窃取这些健身数据。
 
当然,许多运动达人,并不认为自己的健身数据多么值钱,值得黑客如此大费周章进行偷窃;但他们可能忽略掉,窃取这些健身数据,对于身怀一定技术能力的黑客来说,根本犹如小菜一碟,完全谈不上大费周章,况且这些信息也绝不像他们自认的如此无价,比方说,此讯息对于保险公司便深具价值,可用以进行产品设计与广告推销,更可怕的是,这些信息足以反映用户的运动习惯,假使被犯罪分子取得,即可据此推测使用者铁定不在家的时间,接着登堂入室搜括财物。
 
 欲消除物联网威胁  有赖供货商纳入安全设计
 
更有甚者,为广大使用者提供服务的企业,其责任不仅在于全力保护自身数字资产,在此同时,亦需连带保护他们的客户与员工之数据安全,不容许任何个人资料或隐私,是因为企业一时的粗心大意而流失,只要不慎发生此事,对于商誉与形象冲击之大,甚至会大到足以动摇经营根基;然而随着物联网装置大量应运而生,将逼使企业必须与黑客进行攻防的点,骤然增加数倍、数十倍之多,顾此失彼的机率提高不少,所以对于众多有责任保护员工或客户个人资料的企业而言,物联网肯定如同一场挥之不去的恶梦。
 
值得留意的是,物联网装置遭到黑客入侵得逞的机率,也比PC大上许多,因为这些装置不仅采用大量开源函式库,也引用了还未臻成熟之境的UPnP等通讯协议,更重大的问题在于设计者普遍未纳入安全考虑,所以当这些产品遭到破坏时,也不会触发任何响应机制。
 
那么如何提高物联网安全?专家呼吁,物联网装置供货商必须将安全列为产品设计的要素,相对来说,消费者亦需提升安全意识,在选购产品时特别留意其安全强度,进而反向给予供货商压力,驱使他们自知上紧发条、不容懈怠,借以形成正向循环,带动物联网安全的大幅起飞。
 
另外,政府机关也有责任协助设立物联网安全测试平台,甚至不排除建立专责机构,针对各个不同垂直产业的物联网应用,订定不同的安全防护标准,接着依据这些标准,树立严谨的安全测试规范,久而久之,必定可有效提高黑客入侵的门坎。
COPYRIGHT (©) 2017 中国通信工业协会物联网应用分会