IT業界資訊媒體

【國家任務】IoT生產商注意 安全法規準備上馬

IoT(Internet of Things, 物聯網)可以話係現時其中一個網絡安全嘅大敵,因為生產商大多數認為要賺錢嘅話,出嘢一定要快、功能要多同易用,至於網絡安唔安全?呢啲問題真係可以遲啲先算。產品對象為企業客戶嘅都可能講究啲,但做一般用家生意真係睬你都傻啦!明嘅,不過嚟緊就唔可以咁 hea 喇,事關唔少國家都準備為規管 IoT 產品而立法,最快仲要明年一月就有規管添!

根據網絡安全產品供應商 F-Secure Labs 嘅統計數字顯示,IoT 漏洞主要有兩方面,一係弱登入驗證,二係無提供更新檔修補漏洞。前者嘅問題係好多產品推出時可能唔使用密碼嚟配對,但出廠預設嘅登入名及密碼一式一樣,最出名嘅就當然係「admin」同「0000」之類嘅組合啦。只要用家買咗返嚟又懶得改,黑客就好易破解進入。另外,有產品出廠時根本無諗過會提供漏洞修補,所以即使被發現有漏洞,廠方都唔會理,甚至連更新渠道都欠奉,除非廠方回收,否則用家只可以決定用或唔用。

禁用相同出廠密碼

不過,呢啲情況將會有改變,美國加州喺 2018 年通過及 2020 年 1 月 1 日正式生效嘅嘅 SB-327 Information Privacy:Connected Devices 條文,就對 IoT 產品作出規管,限制生產商必須為每部產品設定獨一嘅登入密碼,減少被黑客大規模攻擊嘅風險。雖然法案喺其他方面嘅限制唔多,但至少都針對咗其中一個最重要嘅漏洞。

除咗美國,英國及澳洲亦就 IoT 產品推出生產守則,建議生產商必須就 13 方面去減少安全漏洞。當中有三方面更被視為最重要嘅守則,分別係:1. 唔使用相同密碼;2. 加入漏洞公布政策,當收到舉報後要作出即時回應; 3. 提供檔案更新,等用家有方法堵塞漏洞。雖然未成為法例,但澳洲政府有意將守則喺下年三月進行公眾諮詢。其實生產商就算無法例規管,都要重視網絡安全問題,因為如果成日被發現有漏洞,商譽都會大受打擊,做幾多關公工作都無用。

資料來源:https://bit.ly/33doQkJ、https://bit.ly/37x4BSi

相關文章:【獨家專訪】5G啟動 DDoS因IoT起飛