你的連網產品安全嗎? 跨足物聯網不可忽視的隱私安全紅線

物聯網產品接上網路以後,能為使用者的生活提供便利的服務,但一個不小心也可能會讓生活中的個人隱私暴露於資安威脅下,因此各國法規也有程度不一的保護規範。
評論
評論

早在 2012 年,歐盟就發布了《歐盟數據保護法規》草案,簡稱 GDPR(General Data Protection Regulation)。 2016 年 4 月 GDPR 定案,並將於 2018 年 5 月開始實施。違反法規的處罰金額最高可達涉案企業全球總營業額的 4%,或 2000 萬歐元,二者取最高值。對於想進軍全球物聯網市場的在地設備商,如此程度的重罰,很可能導致廠家出現資金短缺甚至影響整體營運,不可不慎。

2016 年連網裝置遭駭, DDoS 大規模癱瘓網路

物聯網產品接上網路以後,能為使用者的生活提供便利的服務,但一個不小心也可能會讓生活中的個人隱私暴露於資安威脅下,因此各國法規也有程度不一的保護規範。根據物聯網 平台服務商 Ayla 全球首席法務長 Jessica Zhou 表示,物聯網或大數據的法規以歐洲、美國、加拿大、韓國最為完備且嚴格執行。其次為日本、中國、澳大利亞、紐西蘭、東歐、阿根廷等,接下來則是東南亞、巴西、印度、土耳其等,雖然制定了一些立法,但在執行方面並不成熟。第四類的有中東國家、墨西哥、南非、南美的智利、哥倫比亞、俄羅斯等,在這方面的法規上相對有限。剩下的國家和地區,在網路安全、資訊敏感度、數據隱私等方面,法規還沒有成型。

各位讀者可能有印象,在 2016 年 10 月美國就曾發生一起利用聯網設備進行 DDoS 攻擊 DNS 的案例,駭客利用 Mirai 病毒,嘗試用常見的預設帳號密碼(如 admin)登入連網裝置,一旦成功就能操控這些裝置進行流量攻擊。由於數量龐大,一度造成美國半數使用者無法上網。

當然,除了許多消費者懶得或不知該如何修改預設帳號密碼, 2016 年的攻擊中有一大批裝置是中國雄邁科技 2015 年 5 月前生產的網路攝影機,因為把預設使用者登入資訊寫死在韌體上,讓一般使用者根本無從改起。

製造商該如何說服使用者更改密碼?

製造商該如何引導使用者設定帳號密碼, Ayla 就建議可以透過使用介面設計,讓使用者能輕鬆更改所有裝置的密碼,千萬別把改密碼的功能藏得又深又複雜。或者更近一步可以在第一次設定就半強制用戶修改密碼,並且為密碼設定基礎的安全規則,再定期提醒使用者更換密碼。

更進階的重點還包括:

  • 讓物聯網裝置的硬體和軟體的密碼保持不同。
  • 每個裝置都設定不同的密鑰,必須透過密鑰才能和雲端溝通。這樣萬一一台裝置被攻破,也不會擴及其他連結裝置。
  • 存取連網產品登入設限,使用者必須受過雲端授權自己使用裝置。
  • 採用最新的安全標準,比如用 WPA2 取代 WEP。
  • 時時透過 OTA (Over the air) 遠端更新,確保安全機制在最新版本。

當然,對傳統硬體製造商來說,除了設計密碼機制以外可能對以上幾點都不太懂,這部分就可以透過像 Ayla 這樣的服務平台來協助。另外在雲端資料儲存的部分,由於像歐盟、美國等地為保護使用者個人資料,都規範伺服器必須設於境內,最快的方法則是慎選合法規的大型國際雲端服務。再以 Ayla 為例,除了基本的 ISO 27001、SOC 2 等各項標準,由於原本就是源自歐美,雲端建置自然也都符合對 IoT 產業規範最嚴格的歐盟法規,熟知並協助客戶遵守各地法律規範。

隱私規範愈來愈嚴格也愈來愈完備

在前述 DDoS 攻擊事件中,中國 2016 年 11 月制定了中華人民共和國《網路安全法》,於 2017年 6月 1日起實施。這是中國第一個全面規範網路空間安全管理方面問題的基礎性法律,對中國公民的個人訊息和敏感資訊的收集、處理和傳輸進行了限制性規定。另外,在網路安全的監測、預警以及應急處理等方面都做了詳細的規定,也加強了違法懲處的力道。

對從硬體跨入物聯網的業者來說,必須體認到的一點便是「數據」有價,搜集大數據來作為分析和應用的材料,價值遠遠高過於硬體本身的銷售。除了必須掌握去名化、妥善設計加密機制,隨著隱私重視程度崛起各國的法規也愈來愈嚴格,尤其台灣不少物聯裝置出口到歐美,以及未來成長可期的中國、東南亞等市場,都必須注意是否符合當地法規。

數據的收集方和使用處理者的職責方面, Jessica 解釋 ,Ayla 的客戶是前端的數據收集方, Ayla 則是數據的處理者。當發生物聯網數據安全與隱私洩露問題時,一般來講,主要的責任會是在數據收集的那方,但數據的處理者也需承擔一定範圍內的責任。對發展出口業務的企業來說,如果一旦在歐盟等數據安全保護方面比較嚴格的國家和地區觸犯了當地的法律法規,有可能造成巨額罰款和被當地監管部門暫停業務等嚴重後果,所以像 Ayla 這樣的服務提供商會提前給客戶和合作夥伴做出一些提醒和幫助。

本篇資料來源主要為 Ayla 的部落格 公開內容,更多關於物聯網安全與隱私防護,以及物聯數據應用方法,建議各位讀者可以下載 Ayla 官網的 《全面探索物聯網數據與隱私安全》白皮書 來參考。