物聯網時代下資訊安全與資料保護的挑戰與對策

作者/阮建霖

前言 物聯網（Internet of Things，IoT）是透過網際網路、內部網路或無線通訊技術，讓能行使功能的物件互聯互通，通過物聯網可以從中心對裝置、機器、人員進行管理與控制，例如可對家庭裝置、汽車進行溝通管控，以及搜尋位置、防止物品被盜等。透過收集這些物件資料，最後聚合成的大數據（Big data），可充份應用在各領域包括，運輸和物流、健康醫療、智慧型環境（家庭、辦公、工廠等場域）、智慧城市（Smart City）等，物聯網的影響遍及個人、企業、到整個國家。 英國的經濟學人（The Economist）雜誌預測2018年將會是駭客年。因為物聯網家電與機器的普及，駭客可以入侵缺乏良好資安保護的物聯網裝置，再對企業組織發動攻擊。 資安的重視與層級提升 近年來政府重視資安，行政院責成各領域主管機關逐步建立各該領域資安資訊分享平臺（ISAC），統一資安情報溝通方式，以利資安早期應變與預警。為展現政府落實「資安即國安」，2017年12月首度舉辦「府會資安週」，國安會和行政院共同擬定了三個國家級資安的目標，分別是：打造國家級的資安機制、建立國家級資安團隊，確保數位國土安全及推動國防資安技術的自主研發，落實產業發展。 在市場上，除了提供資安產品與服務的供應商越來越普遍，在民間企業服務部分，還有台灣電腦網路危機處理暨協調中心（TWCERT/CC），具跨國網路安全情資共用管道，讓民間在資安事件上有支援的能量，提升資安聯防與應變能力 。 美國聯邦調查局（FBI）同樣關注資安，甚至發出關於物聯網玩具在安全問題方面的注意事項。FBI建議消費者在購入智慧物聯網互動玩具並帶到家中之前，需先考慮關於安全方面的問題。因為智慧玩具或兒童娛樂設備，會根據和使用者的互動內容，來學習並改變它們自己的行為；這類玩具多半使用了感測器、麥克風、攝影鏡頭、資料儲存組件，並且具備一些包括語音識別或GPS地理定位之類的功能。可能會在兒童無意間透露許多個人資訊，對於個人隱私與安全帶來風險。 物聯網的資安事件 Mirai惡意軟體專門攻擊採用Linux的IoT裝置，使執行Linux類系統成為被遠端操控的「殭屍」，以達到透過殭屍網路進行大規模網路攻擊的目的。Mirai的主要感染物件是可存取網路的消費級電子裝置，例如：家庭路由器、網路攝影機、印表機等。2016年10月Dyn公司提供的DNS服務遭到了數次通過Mirai發起的大型分散式阻斷服務攻擊（DDoS）攻擊，牽涉到的受感染物聯網裝置數量眾多。這次攻擊使得數個高瀏覽量的網站無法正常開啟，其中包括Twitter、Netflix和Airbnb，影響層面相當廣泛。

• 印表機跑出恐嚇信： 在台灣，也發生成功大學在內的大學及桃園市的中小學，校內網路印表機自動列印出駭客恐嚇信，駭客利用連線印表機侵入學校網路列印恐嚇信，要求受害學校支付比特幣，否則會發動攻擊刪除電腦檔案與癱瘓網路的事件。
• 路燈與自動販賣機被當殭屍利用： 美國電信商Verizon揭露，美國有一所大學有遭受DDoS攻擊，攻擊來源竟然是校內的自動販賣機、路燈等。物聯網普及會面臨到更多資安問題，已經是難以忽視。

隨著物聯網設備端點越來越廣，凡是印表機、網路攝影機（webcam/IP camera）、機上盒（set-top box）、分享器、心律調節器等非傳統的應用設備，其中研發與品管必須有資安技術與觀念，而現況是欠缺在設備上內建資安管控，以致成為網路安全的威脅目標。而既然物聯網裝置的採用者最擔心的就是安全性及隱私，有鑑於該領域的複雜與未統一，企業更應小心應對。 物聯網裝置的安全 國際電腦安全協會（ICSA Labs）發表了物聯網裝置的測試與認證專案。ICSA Labs主要針對IT產品提供協力廠商的認證與安全檢測。ICSA Labs測試物聯網裝置的六大元件，涵蓋警報/記錄、加密、認證、通訊、實體安全性及平臺安全性。通過認證的裝置將可取得ICSA Labs的標誌，即使已取得認證，也會於裝置生命週期內定期檢驗，持續改善裝置的安全性。國內也有一些廠商組織開始著墨於IoT設備認證，成立「資安檢測鑑識」相關實驗室。 然而目前仍缺少企業及一般消費者容易理解的協力廠商或國家IoT資安產品認證標章，為終端使用者這些IoT端點設備的安全價值提供差異化識別，以致目前一般消費者到企業IT人員都不容易判斷產品本身設計的安全。而對於物聯網裝置及資料交換的安全性，亦僅有極少數的測試標準，期待將來被認可的認證專案填補此一空缺，以因應物聯網潮流。 在場域的部分，常見資安防護架構與產品，特別是網路資安這塊，依然是主要且有效的投資，這也是用戶可以針對現況向系統整合商依據現況持續補強的部份。 個資保護與隱私權的考量 歐盟自2018年5月起將實施更嚴格的個人資料保護規則（European Union General Data Protection Regulation，GDPR），該法規不僅適用在歐盟設立子公司或分公司的企業，也適用所有有處理歐盟居民個資的歐盟境外企業。企業若未遵循GDPR規定，更可裁處到企業2,000萬歐元或該年度全球營業額4%的罰鍰。相關公司在運用IT科技時，也應檢視公司內部個資處理流程，完善內部保護及技術措施，以降低因個資處理不當所引發的鉅額裁罰風險。 個資應受妥適保護的權利，本質上是個人隱私權保護的延伸。相較於台灣個人資料保護法的定義，GDPR對個資的定義更為廣泛且明確。簡言之，所有可識別出特定當事人的資料都屬於個資，因此生物特徵，如指紋、臉部辨識、視網膜掃描、以及線上定位資料，如Cookie、IP位置、行動裝置ID等，均屬於個資的範疇。 「Privacy by Design」是在服務與產品規劃設計時即融入隱私保護機制的概念，國內IoT系統設計，可導入隱私設計及優化技術，相容系統效用與隱私原則。體系面上則導入如ISO27001資訊安全管理制度、BS10012個資管理制度等已廣被採用的標準。 根據歐洲電信標準協會（European Telecommunications Standards Institute, ETSI）之定義，IoT可依照不同的工作內容劃分為感知層、網路層及應用層，這些也都跟資安考量息息相關。 在2014年OWASP組織針對物聯網安全，提出了OWASP Internet of Things Project，目的在協助製造商、開發人員及使用者，都能更清楚瞭解物聯網相關的安全議題，下列為OWAPS Top Ten物聯網前十大弱點項目： 在開發物聯網應用時，需要建立相關驗證、存取控制等安全機制，也應思考可能發生的弱點，並確保所開發的物聯網應用能夠有效避免這些風險。 建議因應策略與總結 設備設計與製造商需要更多關注自身IoT設備上的資安防護功能；對於應用的場域，廠商與用戶則更應重視資訊安全的各種原則，以下對應策略可參考：

• 強化分權原則與最小使用權限： 組織的內網防火牆、責任分權在各種資安論壇已經提到很多，在IoT時代更是如此。軟硬體的使用權限同樣要最小化，遵循「最小權限」原則來實施嚴密的存取控制，例如手電筒App，至多需要存取相機權限，但可能有些來路不明軟體，要求存取所有的權限，使用者很容易沒警覺到，這些軟體可以根據GPS記錄手機使用的地點、個人資料及通訊錄上的聯絡人資料、交談的簡訊內容，將其洩露出去。
• IoT裝置列入IT資產盤點： 電腦、伺服器、網路設備通常是IT資產盤點項目，但IoT設備經常直接被忽略掉。建議組織最好加強對IoT裝置的管理，並儘可能針對這些裝置採用分割的網路，與其他裝置和網際網路隔開，將所有IoT裝置都列入IT資產盤點，並且針對這些裝置採行必要安全措施，例如定期更換管理密碼。
• 加強服務伺服器與防火牆政策管理： 現有IoT設備與架構若不能更新或有較大更動，仍有可能的資安防護：1. 提供服務的作業系統上伺服器保護可採防毒、虛擬補丁、異動監控等方式。2. 企業用戶端大多有防火牆，但有時規則管理紊亂，往往是擺著形式大於實質。這種情況建議佈建防火牆政策管理產品。
• 重視與推動安全產品認證標章： 協力廠商或國家IoT資安產品認證標章，給終端使用者這些IoT端點設備具安全價值差異化。測試及認證可成為物聯網生態體系環節，物聯網裝置經銷商、導入物聯網裝置的用戶，以及物聯網裝置的製造商都可以受惠；發展物聯網系統廠商適時參考隱私設計及技術參考指引。惟目前較缺少企業及一般消費者主流識別的認證。
• 組織持續導入多面向資安防護： 建議企業採用多面向的防護，至於使用者對於不明連結、檔案和郵件，應提高警覺，加強防範。特別提醒所有IT用戶，2018年對資訊安全產生的威脅將只增不減，提高各種控制或補償性的資安措施之與落實性與持續能力將會更形重要。
• IoT裝置本身設計與品管需納入資安理念： 由於物聯網設備的特性，目前幾乎都沒有內載安全防護軟體，使得物聯網設備成為發動或洩漏個資與DDoS攻擊的平臺。對於物聯網的研發過程，業者必須更應著重安全的系統發展生命週期（SSDLC），在考量系統功能性的同時，即導入安全性的思維，同樣地品質管理，也要進行各項必要的安全檢視，例如關閉後門介面、通用帳號密碼等。
• 強化個人資安作為： 筆者強烈建議個人在使用IoT產品時，更改預設密碼、關掉不用服務，並拒絕來路不明App。網路攝影機可能洩漏個人隱私畫面，間諜程式將這些資料販賣，甚至可能給犯罪集團與駭客利用、讓他們藉此獲取個人資料，侵入個人金融帳戶。

當萬物聯網已是必然的趨勢，個人隱私權保護延伸的個資保護更形重要，物聯網的資安事件未來必會不斷發生，將來的人們要留意智慧冰箱、智慧電視，看它們是否已經被吸收而成為殭屍網路一員。更甚者，車聯網、醫療裝置、無人機都可能從原本幫助人們，變成被利用的致命武器。 （作者曾任HP技術顧問，目前任職於淩群電腦產品管理部門）