【根治問題】物聯網開入侵缺口 專家教路源頭堵漏
物聯網(Internet of Things, IoT)的保安漏洞一直為人詬病,經常傳出黑客借已連結物聯網的智能家電,入侵網絡,甚至在企業未為意間,打開其網絡安全缺口!但也不用太擔心,最近歐盟網絡資訊安全局(The European Union Agency for Cybersecurity, 下簡稱ENISA)推出 IoT 產品開發指引,供大家參考如何確保網絡安全。
由 ENISA 所定的指引 Guidelines for Securing the IoT – Secure Supply Chain for IoT,提出一系列針對整個 IoT 供應鏈的安全建議,協助機構組織堵塞因連結 IoT 而造成的漏洞。其中一個主要建議是機構所有階層的人員(包括工程部、管理層、市場營銷部等),都需要擁有網絡安全的技能,以辨識潛在漏洞,以在產品開發的早期,盡早發現安全問題並將之處理。
指引亦建議,在開發 IoT 的每個階段,都應採用「設計以安全為重(Security by Design)」的策略,關注於仔細計劃和風險管理,以確保能早早發現設備的潛在安全問題,指引講明「在設計早段而下的決定,通常對之後的階段,尤其是維護的時候,有著重要的影響」。另一方面,各部門應在開發和部署的階段,保持良好關係,以避免因溝通不足而造成的漏洞,包括由於供應鏈裏缺乏可見性而造成的設計錯誤,例如零件製造商與 IoT 供應商存在誤解或是缺乏協調,就會導致漏洞形成。
不過 ENISA 亦指,並非所有責任都在開發商,提醒顧客們及企業終端用家亦可發揮作用,從投入資源於研究當前應用 IoT 的情況中,找出最佳應用。ENISA 的執行董事Juhan Lepassaar表示,進一步應用 IoT 的先決條件,是要穩定 ICT 產品和服務的供應鏈,尤其是關鍵基建和服務,方能廣泛應用 IoT 中獲益。