新兴科技风险管控系列

江荣伦　高级经理

廖柏仑　副经理

德勤台北事务所企业风险管理服务

物联网（Internet of Things，IoT）或称万物联网（The Internet of Everything，IoE）是近年新兴流行的科技趋势，在感测技术、无线通信、云端运算和数据分析等科技的结合下，物联网带来了一个信息沟通的新概念，不仅人与人之间可以通过网络相互联系，人和对象、对象与对象之间也可以通过网络进行沟通，成为互联网（Internet）的下一个世代。图1简单说明了物联网的概念，以智能居家为例，当家电都联上网络后，不但用户可以通过手机远程操控家电，连家电们也可以自动随情境、环境自动调整，灯具会自动随时间调整灯光，冷气也能随室温自动启动等，物联网将运用智慧改变我们的生活。

国际研究机构近期所提出的研究报告，皆将物联网列为未来十年内将对企业造成重大影响的技术与趋势之一。预估IoT联网装置将以年均23%的速度增长，至2020年可望突破260亿台，用户达40亿，平均每人使用联网装置的数量将增至6.58个。除用量呈现倍数增长外，平均每台装置的附加价值也将提升，可为全球经济带来一年6.2兆商机，创造1.9兆美元的附加价值，将是因特网的30倍，甚至有75%的执行决策会来自IoT，成为全球经济加速成长的力量。因此，在无穷的市场需求与商机吸引下，国内半导体厂皆将物联网视为下一个重大商机，积极布局以占先机。

图1　物联网概念简析

物联网的应用范畴相当广，通过IoT技术企业可借由无处不在的连接将大数据转化为洞察力，以提供新的决策、行动和商业模式。目前有各式各样的产品以不同服务模式进入市场，包含以智能家电与监控设备带动的居家自动化服务、应用于健康监控领域的穿戴型医疗装置、结合大数据分析进行工业制造与农业生产的决策行为、以车用传感器应用于消费与汽车领域，以及运用基础建设监控系统进行公共事业管理，如公路与铁路运输、自来水与电力配送服务等。

表1　物联网应用类别

数据来源：Forrester（2011），Deloitte analysis。

物联网技术收集了过去只保留于终端装置的数据，通过网络连接和运算能力将这些数据转换为具有高价值的信息，通过一个个被串联的智能型装置与设备，不仅带来了商机与生活便利性，也改变了各行各业。对企业而言，物联网的最大效益在于可协助管理者进行决策、节省成本与减少碳足迹，同时也能帮助员工更有效率地工作。然而，与此同时，物联网所收集的大量信息与新兴的支持平台及服务规模等，也重新定义了信息安全的工作范畴！

想象一下，当你生活中的随身穿戴式装置、智能型手机、智能型电视、智能型烤面包机、居家监视器等各类设备都连上网络，在网络中开始传播、分享着敏感数据，有心人士就有机会通过这些未受妥善保护的设备监控你的一举一动，窃取你的个人资料，甚至入侵你的生活。因此，物联网在将我们的生活变聪明的同时，也可能成为隐私与资安威胁的来源。甚至有针对企业为目标的攻击模式因应而生，因此，Gartner也指出至2020年，全球将有逾半数企业的资安方案必须重新设计或扩大规模，以因应物联网的资安需求。

随着IoT设备带来的智慧与便利，新的安全挑战也逐渐浮上台面。近年来，我们也看到许多针对智能型设备（如电视、监视器、游戏机、交通标志等）及其相关的行动应用程序（App）、云端服务等的新兴攻击行为也跟随着联网设备的增加而日益增加。目前常见的物联网装置依据物联网的三层架构（应用层、网络层、感知层）有以下几个普遍存在的安全议题。

议题一，应用层：联网装置本身的隐私数据保护。

当我们所使用的联网装置、设备都具有数据收集、储存与传输的能力时，则装置所收集到的数据是否涉及用户的个人隐私问题，就成为使用者优先重视的议题了。以中国手机业者小米科技为例，当该公司承认只要用户一开机，手机就会回传个人资料至中国的服务器后，不免引发用户一阵惊恐。但随着智能型设备越来越普及，这个问题适必无法避免，差别只在于传递的对象与地点而已。当我们享受物联网所带来的便利时，首先必须要面对的就是个人隐私与企业机密将可能被不当人员取得。因此，在便利与安全的争议下，首先要解决的问题就是“数据的取得过程是否确实获得用户的同意，以及数据的处理是否符合最适原则”。

议题二，应用层：联网装置身份认证及访问权限管控。

为确保对于联网装置在应用层的控制权，一般而言现阶段的联网设备通常会依据过往传统一般安全的管控设计，要求输入用户名称和密码进行基本的身份认证后才能存取。然而，几次资安测试中都显示，目前超过80%左右的物联网装置及其相关的云端服务功能和行动应用程序并没有足够的身份认证机制进行防护，对于设备的密码强度（包含的长度与复杂度）设定有要求者更在少数，甚至存在默认用户名称是admin、默认密码为空白、密码与账号相同，或是将账号与密码以明码储存等情形，这些弱点都会导致身份认证机制失效，而一旦账号密码被攻破后，随之而来的就是任何人都可通过远程搜集资料、监视、操控或干扰你的IoT设备。美国曾发生了交通标志遭黑客入侵，甚至篡改了标志上所显示内容的事件，这类对于国家、企业基础设施的攻击行为的破坏力绝对是不容小觑的。

此外，配合物联网特性，部分比较复杂的联网装置本身会主动串接其他联网设备，因此设备本身可能会储存加密用的密钥、设备指纹信息、路由转发信息，甚至是经过确认的认可存取清单（Access Control List，ACL）。配合前述的身份认证机制，如何在辨识使用者的身份后，配合云端服务或其他辅助技术，给予该使用者适当的访问权限，使其存取最适当的数据（数据最小使用原则），也是考验物联网整体安全的重要课题。其实，目前部分联网装置已经能够依据云端服务的观念，实时传送能够进行逆追踪的装置的记录，再配合巨量数据分析技术，区域型的物联网管理者能够建立恶意行为分析模式来检测或是强化联网装置目前的防御程度，也能够快速地阻断有疑虑的联网装置。

议题三，应用层：联网装置自身的软件漏洞与保护机制。

由于智能型装置如同各类终端设备如PC、智能型手机一样会有安全漏洞的问题，针对各式各样联网装置而发展的病毒、木马、恶意软件等（未来家中的智能联网洗衣机也可能中毒！）将陆续出现。而设备的韧体与所使用的软件版本，也都需要依靠设备供货商不断地更新。在设计更新机制时，除了需考虑是否能够提供稳定的更新版本外，还要考虑设备是否能够自动联网进行更新还是需要使用者手动执行更新、数据本身的备份机制、更新时是否造成网络通信的重大负担、更新过程是否会对IoT设备既有的运作能力产生影响，以及更新失败时的负面影响等种种因素，这些在产品设计之初就必须进行规划与考虑。

议题四，网络层：联网装置数据传输间的加密及保护。

由于物联网多数是通过无线网络（3G/4G/5G）进行链接与传递数据，在传输的过程中很容易遭到恶意攻击者的窃取或是探测干扰，因此，联网装置间的传输过程是否进行加密是至关重要的。然而，由于多数的联网装置通常都是依靠自身的电池进行供电，同时又要追求低功耗，因此联网装置本身的计算能力、加密能力会受到很大的限制。根据统计，目前有超过70％的物联网络传输并未加密或其加密方式并不完整。不论装置的用途为何，在没有加密的情况下，其更可能成为黑客轻易入侵的目标。例如，在国外就曾发生过家长所使用的婴儿监视器未采用加密以保护数据传输，而造成黑客除了可使用远程操控监视器的录像角度，甚至还能通过监视器对着小孩喊叫的恐怖事件。加上以往发展的数据传输及加密保护方式与未来快速成长的联网装置传输及加密保护方式有根本的差异性，因此如何在不同的物联网装置以互补的角度保护重要数据的传输安全，将是未来组织在运用物联网技术时需要面对的严峻挑战。

议题五，网络层：联网装置间复杂的网络安全管控。

由于物联网代表的是更多元化的网络传输方式及网络传输活动，因此不仅过往发生在传统网络的网络攻击模式会持续发生，也会因为物联网的特性，而有新型的网络攻击被创造出来。例如传统的网络攻击包含中间人攻击（Man-inthe-Middle attack）、阻断式/分散阻断攻击（DOS/DDOS），而新式的攻击则有可能是在众多联网装置中，恶意攻击者通过多个合法装置掩护少数非法装置的方式加入物联网之中，进而发布假冒信息或是干扰正常装置的运作。由于不同产业或不同使用目的所采取的物联网安全保护强度将会不同，因此在跨越不同网络之间或跨异质性的物联网络中（如一般的因特网与物联网），如何无缝进行安全防御，也是重要课题之一。

议题六，感知层：联网装置底层的感知设备攻击。

联网装置有限的储存空间及计算能力决定了其无法采取高强度的安全防御机制，加上部分联网装置可能会设置在无人看管的区域之中，因此恶意攻击者可能直接攻击联网设备的感知模块或是实体安全，例如在没有良好实体保护的联网设备中加装监听器或是分析器，或是传输大量的感知信息造成重要节点的感知器发生问题或是服务受阻，造成联网装置无法主动侦测其他的联网装置，形成孤岛，再由恶意攻击者搭配其他攻击技术取代或是控制该设备，达到攻击或是渗透的目的。

由上可知物联网的安全保护要从设备实体安全、网络通信、软/韧体设计等层面着手，但不论对于制造商还是使用者而言，IoT设备的安全防护相对于计算机与服务器更为困难，主要原因如下：

（1）风险的认知不足。对于物联网防护意识仍不普及，不认为小小的设备可能造成大大的风险，容易造成推广的阻碍，例如要求安装防病毒软件、定期更换密码及更新软件等难以落实。

（2）管理困难度。由于联网设备彼此之间是可以对话的，因此安全防护机制的设计必须与对象之间的沟通机制整合，这也使得管理难度呈等比级数上升。

（3）运算能力悬殊。为了让所有联网设备能彼此对话，加密技术的设计必须符合不同装置的特性，包含设备运算能力、功耗情况、储存能力等皆会影响加密技术的发展及运用。

（4）使用者的耐心有限。物联网讲究的是快速而且便利的使用，在充分融入使用者的生活过程之中，必须在安全与便利间取得平衡点，以免削弱使用者的使用意愿。

（5）低失误率。医疗、交通工具等重要物联装置对于失误率的容忍度非常低，比如在医疗监控、智能城市管理、智能交通管控等领域，一旦在维护或更新过程中产生错误，反而会造成更大规模的灾难，在发生错误时，不但要有具备较高的容错率或是自动修复机制，还要配合适当的人为管控进行补充。

物联网连接起无数个装置及系统，建立了人与对象沟通的管道，却也开启了黑客攻击的大门，有心人士可攻击的层面将随联网设备的增加而成长，随着技术发展渐趋成熟，未来人们与企业可采用的智能型设备的数量和形态适必将有增无减，因此，保护这些设备将成为企业构建资安防护的下一个大挑战。

为应对这一新趋势，设备制造商以及设备使用单位、使用人员对于安全防护的认知都必须有效跟进。设备制造商为确保所生产的IoT设备具备安全防护的功能，应一开始就在产品中嵌入安全防护措施，并持续提供更新，以避免使用者因物联网而陷入更危险的风险之中，只有这样才能以赢得使用者的信任。而身为使用者的我们，在决定使用新兴科技与设备的同时，必须先了解这些设备可能带来的各种安全风险，选择符合控管标准的设备并针对联网功能采取适当的防护措施，这样才能在保护数据安全的同时，避免因对新兴科技的不熟悉而在获得便利时失去了安全。