NO.43 | 2018.08.15
banner
title有備而來 友善列印>>
2018年歐洲物聯網技術博覽會(IoT Tech Expo Europe)_資通安全組 郭麗靜副理



       伴隨各國發展出運用物聯網(IoT)技術應用於不同領域,小至個人日常應用,大至工業基礎建設,無不想透過物聯網技術帶動創新應用服務及提高系統運作效率,然而,基於物聯網屬新興科技,物聯網應用可能未考慮資訊安全議題,而讓有心人士有機可趁,取得系統漏洞並且致使攻擊風險日益激增。

  為獲得物聯網技術應用及掌握物聯網資安發展趨勢,國家通訊傳播委員會及財團法人電信技術中心派員參與「2018年歐洲物聯網技術博覽會(IoT Tech Expo Europe)」,該博覽會於2018年06月27日至06月28日在荷蘭阿姆斯特丹RAI國際會展中心舉辦,集結60場物聯網應用展場,讓各國服務提供商或設備商展示最新物聯網應用服務。本次博覽會主要著重於物聯網技術發展、隱私暨安全討論議題,期盼透過此次國際物聯網技術會議,借鏡各國物聯網技術研究成果。

一、會議重點分享
 
(一)  [物聯網發展議題場次]案例研究:歐洲太空總署連結性創新應用
    歐洲太空總署(European Space Agency)係由19個歐洲成員國組成的國際太空探測及發展組織,為因應物聯網技術潮流及確保歐洲及加拿大全球衛星通信市場之發展,歐洲太空總署對於衛星通信擬定長期「太空通信系統先進研究(Advanced Research in Telecommunications Systems,ARTES)」系列計畫,以支援前瞻衛星通信產品及服務發展,並且為產業成員提供衛星主要框架並構成衛星產品和服務之基礎。
 
    歐洲太空總署更將機器端對機器端(M2M)及物聯網應用於衛星產品中,以達到以下目標:
  1. 採用地圖分析,包含海上、航空、火車、汽車等之遠端控管、高行動性與有效圖形化顯示衛星所在地。
  2. 提升衛星運作穩定性及QoS品質控管,並且在不依賴虛擬行動服務業者(MVNO)或行動通訊業者(MNO)增加對網路的控制。
  3. 強化各終端設備功耗之可預測,以及有效整合全球衛星導航系統(GNSS)資料傳輸與應用,並且對現有衛星架構平臺(如海軍衛星等)進行整合統整。

 

圖表1:未來衛星 M2M/IoT圖資化範例; 資料來源:講者簡報
 
(二)  [物聯網發展議題場次] 設定成功的舞台:如何發展成功的物聯網策略
    KORE產品管理副總裁Marco Bijvelds利用數據讓與會者了解發展可用物聯網策略的重要性,僅33%受訪公司認為所部署和規劃的物聯網策略是成功的,並且已完成物聯網策略中有33%未被視為成功。然而受訪公司IT管理人員與高階主管認可成功觀點一致性偏低,因為受訪結果呈現33%受訪IT管理人員表示佈署及倡導物聯網方案已圓滿達成,但進一步統計僅有15%高階主管認同此觀點。

    鑑此,要成功推出物聯網解決方案與克服常見部署問題,依據特定業務及目標制定可行性且可擴展之物聯網策略相當重要。KORE產品管理副總裁建議:
 
    成功發展物聯網策略關鍵因素包含有五大項包含「安全暨法規」、「連結性」、「利潤」、「組織」與「技術」。除了五項主要成功因素外,更要注意不可或缺的四項支援因子,包含「專業人才」、「足夠資源」、「有效協調」及「IoT經驗」,因為常見失敗來自於缺乏內部IoT專家發展及佈置IoT環境、不充足資源管理來自IoT方案不同元件之多重供應商間關係、須有效管理協調IoT方案複雜性,並且可能因為IoT經驗不足而導致時程拖延。
 

圖2:發展物聯網策略5大關鍵因素及4項支援因子; 資料來源:講者簡報
 
(三) [隱私與資安場次] 如何最小化網路風險
    AIG網路風險技術專家Martin Overton在會場指出依據自身在30年惡意程式分析防禦經驗,組織中近80%至90%漏洞/資安事故皆可事先防預,以避免企業憾事及損失發生。專家在會議上針對物聯網應用資安最佳實務控管措施建議包含如下:良好產品資安設計:要物聯網產品開發商負起良好資安設計責任,不可將資安控管都推給終端使用者,而是要從物聯網產品設計源頭開始作起。
 
  1. 良好產品資安設計:要物聯網產品開發商負起良好資安設計責任,不可將資安控管都推給終端使用者,而是要從物聯網產品設計源頭開始作起。 
  2. 產品開發者/工程師須受資安訓練:為了確保產品能有良好設計,並讓產品開發者/工程師了解資安重要性,以及在產品引入減緩風險相關機制,須針對重要技術人員進行資安教育訓練。
  3. 資安檢測不是直線運作而是循環運作:當資安檢測完畢並不代表結束,而是要定期進行重新資安檢測,以確保在各階段及時期資安控管措施都已適當被落實。
  4. 提供備援措施:針對本身供應鏈管理提供相關電力、軟硬體維護等相關備援措施,以確保重要事故發生可以及時因應。 
  5. 擬訂賠償條款:為了確保供應鏈能提供SLA服務,須在合約中擬訂明確可接受系統回覆等待時間及相關罰款條款,明確雙方義務。
  6. 採取資安查證:依據所須雙方定義SLA服務等級提供相關服務,並且最好基於所需資安等級有相對資安檢測。
  7. 擬訂緊急計畫:擬訂適切組織營運持續計畫、緊急回覆計畫及事故通報計畫,以確保當事故發生可以依據適切計畫予以回復系統運作。
二、會議心得

(一) 重視資安與物聯網生態體系標準化是推動物聯網成長的重要關鍵
    速度提昇、具靈活性、節省成本與可靠性提高只是物聯網應用提供眾多優點之一,物聯網應用也帶來了有心人士利用物聯網漏洞進行不法活動,致力於推動物聯網相互操作無線標準的Wi-SUN聯盟研究表明,大多數受訪者認為遲遲不採用物聯網應用主要因素在於對資安議題疑慮,因此,當組織在發展任何創新物聯網應用專案都須花時間了解主要資安訴求,以確保足夠的安全策略,以促使安全性轉變為物聯網應用產品核心價值之一。此外,結合各界技術及資源能量產生一個具標準化物聯網生態體系,可促使物聯網應用更有效整合及提昇安全性以進行溝通與協同工作。在標準化物聯網生態體系中最大好處之一是無需鎖定特定物聯網應用供應商,基於開放及一致性標準的解決方案,將為顧客提供多元選擇、市場更具競爭力與保障供應連續性。
 
(二)「歐盟個資法」GDPR為物聯網產業帶來衝擊也提昇資安動力
    物聯網應用中對敏感資料之隱私保護一直是各界爭議議題,因此歐盟2018年5月公告實施一般資料保護法規(EU GDPR),依照歐盟對個人資料收集和處理新標準,將對物聯網應用設備製造商和軟體供應商施加資安義務,廠商勢必針對物聯網應用收集到的個人資訊的數量和類型作相對的因應,並且須制定策略以符合新規定。隨著GDPR法規到來,敏感資料安全性再次成為全球物聯網應用領域的焦點,專家建議為避免違法GDPR法規規定,應著手進行了解GDPR法規要求、制定可靠緩解策略,以及採取行動以確保遵守物聯網隱私控管及法規遵循性。