UL融合產業標準為IoT裝置推出不同等級的安全評等
隨著萬物連網時代的來臨,資安問題受到大家的重視,UL特別推出全球第一個融合產業標準的 IoT安全評等,提供連網產品的資訊安全評估標準。
在行動網路、寬頻上網等技術進步後,人們的生活已經進入網路生活。而隨著網路連接的普及之後,有越來越多的連網裝置與應用,其中 IoT(物聯網)正是如此,從工業生產,到每個人室內、外居家設備都擁有連接網路與智慧控制的功能,不論是掃地機器人、智慧家電、智慧音箱統…等等,都讓生活更為便利。
然而在所有裝置都能連接網路時,資安問題就變得更需要重視,因為只要不小心就可能有駭客利用網路入侵,造成隱私或是財產的損失。事實上這樣的資安問題早就陸續出現,像是自動提款機盜領、生產線因駭客攻擊而中斷等,損失很難估算。在眾多智慧裝置在市場銷售時,消費者要如何選擇以確保資訊安全,而製造商要如何推出讓人信賴的連網產品?為此 UL推出全球第一個融合產業標準的IoT安全評等(IoT Security Rating),提供連網產品的資訊安全評估標準。
因應消費者對於資安問題的重視與要求,許多通路、品牌也轉而向ODM、OEM業者確認連網設備的安全性,也讓各國政府陸續針對 IoT資安問題立法與訂定強制規範,如歐盟已推行的「歐盟GDPR和歐盟網路安全法案」、2020年即將實施的「加州及奧勒岡州 IoT裝置安全法案」、美國國會提出的「美國 IoT網路安全改善法」草案以及中國提出的「中國物聯網安全國家標準」。
臺灣的企業擅長IT製造,要進入 IoT市場勢必要特別重視「資安合規」的課題,但也是當前的難題。例如以加州及奧勒岡州即將推行的「IoT裝置安全法案」,就要求IoT設備最基本的安全需求包括:不可以預設密碼、第一次啟用時必須強制變更密碼…等,法令要求最終成效,並未詳細說明設計、裝置設定等過程該如何遵循。而UL透過 IoT產品的安全評等觀點,將可協助企業加快擁有資安合規的證明。
製造商在面對資安防護也有許多挑戰,目前的消費者無法辨識產品的安全性,製造商們就缺乏重視資安的動機與投資動力。而新產品創新的進展可能超越舊有產品的標準,加上缺乏資安的標準與時刻變化的攻擊手法,更是製造商們要面對的重大挑戰。
面對這些挑戰,若有第三方認證單位能提供公信、快速、易於採用、完整考量所有系統功能、後續持續評估以及較低成本且易於消費者識別產品資安等級的標誌,製造商接受的意願非常高。
為此UL根據前20大 IoT資安設計準則,參考各國相關法規並融合產業標準共識,訂定出 IoT安全評等,考量七大類別,包括:安全軟體更新、資料加密、安全通訊、隱私需求、系統管理、邏輯安全、文件流程需求,並採用40多項測試項目進行嚴謹的評估,從產品設計環節就導入安全防護規範,再用鑽石、白金、金、銀、銅五個安全等級區分產品的資安防護能力。製造商只需透過一至三周的一次性產品評估,後續每半年一次的監測,就能成本時間兼顧,降低資安漏洞風險。
資訊世界確實存在安全問題,尤其資安威脅時常改變,要在資安動態危險下防禦是一門課題。UL擁有長久豐富的資安研究與安全認證,面對萬變的資安挑戰,除了協助製造商去定義 IoT安全,並遵循國際標準,同時也站在消費者立場,將資安訊息透明化,以易於識別的UL IoT安全評等標誌,讓消費者能夠更直觀更明智地選擇IoT產品。