CLOUDSEC 趨勢安全研究副總談智慧城市:IoT 漏洞、隱私危機、物得其所的未來

趨勢科技的全球安全研究副總 William Malik 搶先與記者分享一些關於智慧城市的精彩內容,從概念到技術,細細拆解智慧城市的問題、解方,以及願景。
評論
▲趨勢科技全球安全研究副總 William Malik。INSIDE/Mia
評論

趨勢科技 CLOUDSEC 2019 企業資安高峰論壇將於 8/21 展開,趨勢科技的全球安全研究副總 William Malik 也搶先與記者分享一些關於智慧城市的精彩內容,從概念到技術,細細拆解智慧城市的問題、解方,以及願景。

William Malik 說,智慧城市是「系統們的系統」,底下還有智慧交通、智慧建築、智慧醫療等領域,每個領域從資料、系統到應用端架構相當龐雜,更為駭客提供了大量的攻擊介面。

智慧城市可能遭受的攻擊

IIoT 工業物聯網

他舉例,今年 4 月中國一家航空的波音 787 發現儀表板異常,上面顯示日期為 1999 年 8 月 22 日,就是因為提供 GPS 訊號的衛星當初設計只考慮到留存信號 30 年,造成 30 年後遭到重置。衛星系統出問題,除了影響飛機,也影響到紐約交通警察,無法自動掃描闖紅燈的車牌。因為衛星的一個設計瑕疵,影響到所有與之相連的系統,甚至早在一年多前就有專家警告「衛星日期問題」,但大概太難想像後果,還是得等時間到期才發現錯誤一湧而出。

另外 Malik 也舉例知名的 Triton 和 Stuxnet 病毒,就曾被用在核能設施干擾感應器的判讀,足以威脅生命。

5G 和邊緣運算

Malik 解釋, 5G 短程、即時傳輸的特性,有利於分散到個終端裝置的邊緣運算。因為短程這些資料不會用 5G 傳送到遙遠如衛星再送回來,而是在各種裝置中密集地交換資訊、喚醒程序。而裝置間更密集的溝通也展露很多弱點可受攻擊。

5G 基站和 4G 的蜂巢式網路不同,像這樣的新機制也能產生可攻擊漏洞。Malik 說,像大量運用 NFV (Network Function Virtualization,將實體設備軟體化、虛擬化)  ,配合運算分散,及快速傳輸的特性,當手機開啟一個 app 就會在5G 基站建立一組虛擬機,隨著使用者行進快速清空並重新建立到短距離內的下一個基站,一來一往之間又再度留下一堆攻擊空間。

更多技術上已證實可行的攻擊與阻礙

另外,Malik 也針對更類型攻擊一一舉例說明,比如「破壞式機器學習」就是 AI 廣泛使用的電腦視覺辨識,卻會因一兩張貼紙或特殊符號干擾,就能大規模影響自駕車判別交通標示。

供應鏈攻擊則已經在黑帽駭客大會上示範過駭進智慧電表影響讀數,進而提高電費、升高發電負擔、誘發系統過載或造成其他地區電力短缺等。

還有 IoT 設備數量龐大又新舊不一,很容易面臨作業系統更新過慢的問題。比如超過 20 億台印表機都採用的系統 13 年前就遭破解,但上個月才發現,更別提這麼多台印表機何時會更新完畢。

除了駭客攻擊,還有源自於人性的阻礙。

Malik 再舉例,比如 Google 在多倫多計畫要花 9 億美元建置的智慧城市,可以自動因應球賽等活動調整道路調度、照客製化口味推薦市民餐廳、客製化推送賣場優惠等。但涉及的資料規模太過瑣碎龐大運作機制又難以理解,居民不了解的狀況下就會產生臆測,進而引發陰謀論,不論合不合理。

當然 Malik 自己對於個人隱私與政府全力還是相當警惕的,他對於臉部識別、國家竊聽都表達了疑慮。以美國為例,去年 FBI 合法透過法院申請調閱國家安全局的國際電話側錄、Google、Facebook 社群網站的資料就高達 1.7 萬筆。他也合理擔心: 1. 資料是否照著搜集時聲稱的準則使用;2. 資料是否會遭第三方破解違法使用。

但是 Malik 同時也認為合理的資料搜集與使用有時會因不了解產生離譜的臆測:太太認為我外遇,是因為監視器拍到我在跟朋友聊天?號誌輪到我就紅燈,是因為我太矮?

即時回應建立信任

智慧城市太複雜,居民不懂怎麼辦?Malik 再舉例以色列的國家 IT 熱線,在以色列只要電話撥打 119,就可接通屬於全民的 IT 疑難中心,提供所有民眾容易、即時的解惑。而疑難中心的服務人員則是念電腦科學的大學生們,因此熱線不僅可以解除民眾疑慮、累積大學生工作經驗,還能從全民回報的問題中揪出潛在的資安攻擊。

Malik 分享,目前美國也有三個州實施類似的專線,而以色列人口大約僅 600 萬,因此這樣的方法是足以負擔每天湧入的提問。

解決問題

要解決這些問題,Malik 認為智慧城市可以建立一些基本守則:

  1. 檢視各系統間的關聯
  2. 定義關鍵的服務
  3. 建置完整架構並及時反應
  4. 引用業界既有的標準、協定
  5. 弄清楚各系統的相依關係
  6. 建立緊急反應系統與機制,比如設立好網路區段區隔
  7. 鼓勵民眾參與,不論是過程還是回饋
  8. 保持系統即時更新

核稿編輯:李柏鋒




台新 Richart 數位工具降低理財門檻,小資族也能小額投資為自己加薪

市場上理財商品眾多,曉姿雖有基礎金融知識,但對於如何開始投資,仍覺得眼花撩亂。台新銀行 Richart 瞄準「理財小白」的投資痛點,推出低門檻的銅板基金、百元投資以及 500 元即可申購的 ETF 連結基金,讓小資族輕鬆踏上財富自由之路。

評論
評論

曉姿與老公在台北市蛋黃區租房,重視生活品質的他們,時常會利用休假期間到外縣市旅遊,因而興起買車念頭。然而,他們每個月的房租開銷大,能夠存下來的錢已經不多,又不願犧牲生活品質,存錢買車是現階段的難題。為此,他們求助理財專家。理財專家建議,曉姿夫妻可以先將自己的理財規劃區分成短、中、長期目標,再根據自己各階段的目標,將手中現有的資源,作合理的分配。

小資族設定目標,找對工具輕鬆滾出第一桶金

「其實你們可以考慮降低房租,提高可支配所得。」理財專家說,蛋黃區與蛋白區房子的租金落差大,每月相差 1 萬多元,用來買兩人的大眾運輸月票,還能剩下不少,雖然通勤時間拉長一些,但每個月多存下來的錢,就可以透過投資理財方式,加速累積購車金。

理財專家說,低利率時代無法透過「定存」快速累積資產,還容易被通貨膨脹稀釋,因此必須尋求更高報酬的可能性,而投資基金就是一種方式。

「但投資基金是不是要先準備一大筆錢?」曉姿問。理財專家表示,隨著投資管道越來越多元,現在有很多金融商品不需要一次投入太多金額,進入門檻相當低,正好適合毫無投資經驗的新手小白。

例如,台新銀行 Richart 推出低投資門檻的基金產品,最低只要10元起跳,若想要投資組合多元化,也可以選擇百元基金,挑選適合自己投資偏好的基金,打造個人化的投資組合。當曉姿透過定期定額養成固定投資的習慣之後,就能從小錢開始慢慢放大投資部位,為自己累積財富。

簡單來說,曉姿一開始可以選擇每月投資 3000 元,隨著經驗累積,加上自己的工作加薪後,可以改成每月投資 5000 元,或是找老公一起投入,每月共同撥出 1 萬元投資。如此一來,預期投組的平均年報酬率 3% 推算,預計 4 年內可存到買國產房車(約 50萬)的預算,並非不可能的夢想。(以每月投入10,000元、年報酬率3%、目標金額50萬試算,預計第4年末資產可累積509,312元) 

至於若能順利買車,曉姿夫妻的長期理財目標又是什麼呢?「身為上班族,最希望的當然是早日達到財富自由的境界,不再為工作而忙碌。」不過,理財專家說,財富自由意謂著「非工資收入」大於「總支出」,及早開始理財是增加非工資收入的首要任務,積極透過各種投資工具,規律地慢慢累積財富。

台新 Richart 根據你的投資風險屬性,配好專屬組合,用銅板就能開始投資。另外,Richart 也會定期整理榜單,可查看近期熱銷、高報酬、新上架及大單基金,快速跟上趨勢。

Photo Credit:台新銀行

確認自己的投資屬性,找出最適合自己的投資方式,並開始落實

另一方面,曉姿的同事蔡九哥,雖然想進入投資市場,但沒有時間研究投資標的,因此,理財專家建議他,如果對資本市場不夠了解,那就「跟著大盤走」,可以考慮連結大盤指數的 ETF 連結基金。

「什麼是 ETF 連結基金?」蔡九哥對於ETF基金感到陌生。對此,理財專家解釋,所謂 ETF 連結基金,指的是連結大盤指數的股票型基金,以台灣最有名的 0050(元大台灣卓越 50 指數股票型基金)為例,它所連結的標的是台灣市值前 50 大企業,基本上都是知名的上市公司,獲利穩定,可以作為新手投資人的投資入門。

而曉姿雖然沒有投資經驗,但擁有七年的財經新聞編輯歷練,對投資產品具有基本的概念,對市場變化較為敏銳。因此可以採「雙管齊下」策略,一部分投資 Richart ETF 連結基金,確保穩健獲利;另一部分則選擇自己偏好的產業類別,透過 Richart 百元投資,建立自身投資組合,追求更好的績效。

蔡九哥問,「我聽說買基金還要付手續費、管理費,但股票只有手續費跟交易稅,交易成本好像比較低?」對此,理財專家解釋,近年因市場競爭激烈,券商手續費都有打折,但依然有「低消」,亦即基本手續費大約是 20 元,對於投資金額不高的小額投資人並不友善。

不過,台新Richart的基金申購手續費僅 2 折,大大降低投資人額外成本,讓小資族可以放心投資,想到就買、有錢就買。

不隨著市場上沖下洗,定期定額懶人投資術保心安

對於初入投資市場的曉姿來說,最害怕「現買現套」,尤其投資還是有一定的風險,當遭遇市場波動劇烈,自己的資產也會隨著暴漲暴跌。不過,若曉姿透過定期定額方式,分批申購基金,除了可以分散風險外,還可以避免「追高殺低」,不會瞬間「all in」在最高點,也能掌握逢低買進的機會。

相較許多銀行提供的定期定額方式,多是指定日扣款,Richart 的定期定額扣款日是每月 1 至 28 日,幾乎天天都能選,這讓曉姿可以增加扣款日來分散投資成本,降低加碼在高檔的風險。這項功能也可以讓小資族依照自己的資金流動,自由調配投資時間。如果你是自由業,或是斜槓青年,有一些額外收入,便可以根據資金入帳的時間設定定期定額的扣款日,養成固定投資的習慣。

透過定期定額的長期投資,加上聰明智慧的投資工具——台新 Richart ,大大降低了投資門檻,即使是小資族也能掌握開源的機會,買到曾經遙不可及的夢想,也逐步踏上財富自由的路。