2019年物联网发展延续2018年热潮,从与AI、5G、云端的结合,到数位孪生、数据经济应用,乃至道德、资安、化的规范面等,更加成熟聚焦于衍伸应用和资安基础的建立。若以政策法规、市场需求与技术发展作为观察指标,物联网在2019年持续多元发展,应用上更为实务落地,为厂商带来实质效益,也为城市带来防护的能耐。
近年大规模物联网网络攻击事件频传,各国逐渐由民间自主应对转为官方立法防护,例如美国即将问世的《物联网设备安全测试准则》、欧盟预计于2019年通过的《数位安全法(Cybersecurity Act)》、日本《通信事业法》修正等。厂商普遍对相关立法持正面态度,部分厂商也顺应相关趋势,于产品设计上进行调整,期望透过产官合作,让民众对物联网应用更具信心。
随着物联网网络攻击事件此起彼落,美国政府决定以法规防堵资安疑虑,例如加州在2018年通过《装置资安法(Title 1.81.26. Security of Connected Devices)》,相较于过往法规的鼓励性质,该法明文规定要求联网装置制造商必须设立合理的安全措施,且每个装置需配有1组独一无二的预设密码,或要求使用者于第一次使用前设定新的身分认证方式。
日本政府2018年底~2019年初频频针对物联网资安修法,原因或与2018年南韩平昌冬奥开幕式遭俄罗斯黑客攻击有关,使得日本政府全力备战2020年东京奥运。主管机关总务省在2019年1月底对《电气通信事业法》进行修正,于2020年4月起要求联网终端设备须具有防非法登录功能,例如能切断外部控制、要求变更初期预设ID和密码、可时常更新软件等,且唯有满足标准、获得认定的设备才能在日本上市。此次电信法调整也要求当非法登录造成「3万用户超过12小时」或「100万用户超过2小时」故障时,营运商需将该故障视为重大事故向总务省呈报,违者将受到行政处分。
政策制定和法规颁布往往牵动厂商动态,包括成本是否因此垫高、标准是否国际互通等;而法规政策也会对一般大众造成影响,例如日本NOTICE计划公布后饱受社会抨击,认为政府试图登入私人物联网设备的行为本质上与黑客无异,且搜集的数据与名单恐引起另一波网络犯罪和诈欺。
观察此次物联网相关资安法案规划过程和制定结果,虽已将影响范围从数位服务商扩大到产品制造厂,然因资安是物联网发展的关键基础,唯透过政府和厂商共同对民众建立信任感,方能支持后续的持续应用。相较于2018年中旬《加州隐私法(California Consumer Privacy Act)》制定后,造成科技大厂抵抗和游说新法,多数厂商对物联网资安法规普遍持正面态度。
Cisco对NIST制定的CSF,便认为其可为组织厂商提供一致标准,且协助辨识需管控的风险,也建议NIST发展隐私框架(Privacy Framework)时,可大幅依循CSF的制定原则,进而提高两框架的相互操作性和包容性,包含Apple、IBM、Microsoft、Symantec与趋势科技等在内的商业软件联盟(Business Software Alliance,BSA),也鼓励成员就欧盟数位安全法草案展开相关产品、服务与流程的自我评估。
全球物联网资安法规虽陆续颁行,然部分内容尚持续补强中,对新法和现行计划的替代问题、法规依循顺序与未来认证计划的认可范围等,都是厂商未来适法调整的重点。
物联网资安法规透露出政府对此议题的看重,相关细则虽持续发展中,但就原则而言,颇有数位隐私不仅是数位服务商的责任,甚至需要做到源头管理和装置需具备独一无二辨识性的意味,是以相关厂商也呼应政策走向进行产品调适,例如Gemalto(金雅拓)在2019年初发表新模块,将eSIM整合到Cinterion LTE-M IoT模块中,帮助AT&T用户强化物联网连接安全。
在制造过程中将SIM深度整合到模块,有助于提高耐用性、耐热性与耐振动能力,且eSIM可在物联网解决方案长期使用的过程中,透过简易更新持续加强安全性,同时内建防篡改机制,保护设备免受不断变化的网络安全威胁,设备制造商也无需部署自己的安全生产设施。此外,该模块亦可添加嵌入式安全芯片(eSE)功能,将数据存放在高度安全的数据库中,仅限获得授权的应用程序和人员进行共享,提供额外安全保护。
Thales e-Security针对应用管理资料分析、资料收集储存、通讯网路IoT设备等3项物联网架构元素,发展个别资安对策,针对受保护的资料和系统,可限制为只有授权使用者和设备能进行存取;为使装置能安全连接物联网,每个设备都需1个特有的辨识凭证,其发展的硬件安全模块nCipher HSM,在IoT设备的制造和运作中内建硬件信任根(Root of Trust),提供更安全的系统环境并支援防护应用程序,让制造商能使用加密处理、金钥保护与金钥管理,为每个设备提供独一无二的ID。
鉴于气候变化和自然灾害带来的影响日趋严重,为因应未来全球都市化趋势,许多国家在5G和物联网应用中,将「韧性(Resilience)」纳为崭新重要议题,例如北京在2018年底成为中国首个将「韧性城市建设」纳入城市总规划的城市,带起一波旧房加固改造、新房风险防治的商业应用;Qualcomm也与智慧城市委员会(Smart Cities Council)合作,提供资金协助遭玛丽亚飓风重创的波多黎各,于智慧交通与住宅、电信与IT基础设施等领域重点发展,为物联网于智慧城市的未来发展聚焦新方向。
智慧城市在韧性上的提升,主要聚焦于强壮度(Robustness)和立即度(Rapidity),前者为当城市面对天灾、恐攻、社经与能源危机等不确定冲击时,将影响最小化的能力,后者则为状况发生后复原的时间。
国际间提倡城市韧性发展的机构中,以洛克菲勒基金会(Rockefeller Foundation)发起的非营利组织「100韧性城市(100 Resilient Cities,100RC)」最为知名。该组织以成员面临的挑战和方向,归纳出「健康与福利」、「经济与社会」、「基础建设与环境」与「领导与策略」等4面建构而成的城市韧性架构,以更弹性、更坚强、更能整合等韧性特质,作为城市解决相关议题的发展主轴。
在100RC提出的韧性架构中,与物联网应用最相关的当属「基础建设与环境」,多聚焦于强化自然和人为资产,新创厂商如Jupiter和Coastal Risk等,透过传感器收集数据配合卫星资料及模型推导,将气候变化风险信息作为主要商品,提供百货、购物中心和高级住宅建商等,以利其规划地点、建材及因应措施。
此市场形成的背后原因,一方面在于物联网传感器的普遍应用,一方面也因气候异常,造成过往的历史天气模型已不具预估性,投资者需更新更实时的工具对土地长期风险进行评估。
在提升韧性应用上,持续且可靠的信息交流,以及确保关键性服务的持续相当重要,且与广大市民公共安全息息相关,例如美国官方单位急难救助网络管理局(The First Responder Network Authority)为了全面提升美国紧急通讯能力,打造专供初期应变人员(First Responders)使用的全国性无线宽带网络FirstNet,以保障、员与紧急医疗技术人员等,在处置突发事件时能进行顺畅沟通,并透过公私合作伙伴(Public-Private Partnership)机制,于2017年委由AT&T进行网络建设。
由于公共安全灾防宽带网络能提供火灾、洪水与犯罪等现场实时图像,为后方决策者提供丰富准确的现场信息,故为英国、澳洲与芬兰等先进国家的重要推动政策,也成为物联网强化城市韧性的重要基础。
此外,系统和路况信息连接可提供到达灾难现场的最快路线。根据NIST公布清单,2018年4月时仅有17款设备通过认证可于FirstNet使用,截至2019年2月已发展多达71款装置,Apple和Samsung等大厂设备皆名列其中,且多以手机和平板为主。
随着网络攻击事件影响范围和损害越趋扩大,物联网资安提升无疑是所有垂直应用的重要基础,而政府订定法规一定程度上也希望成为官方认证,故如何让消费者对产品产生信任感,使物联网不致成为威胁网络,将是政府和厂商共同面临的课题。
因应未来法规和趋势,物联网装置相关厂商在产品设计阶段,应加速导入隐私和数据保护技术,售后亦应提供定期远端漏洞维护和管理,在获得政策性商机同时也呼应政府作为,借以达到产官双赢局面。
另一方面,在物联网资安防护完善前提下,智慧城市的广大商机将是政府和厂商兵家必争之地。随着气候异常和天然灾害频传,提升建筑、社区乃至城市韧性将如买保险般普遍,而与现代生活密不可分的网络通讯,以及面临灾害第一时间作出反应的应急准备,将是物联网可多元应用的领域。
免责声明:本站所有信息均搜集自互联网,并不代表本站观点,本站不对其真实合法性负责。如有信息侵犯了您的权益,请告知,本站将立刻处理。联系QQ:1640731186