在10月22日一場關於AIoT產業資安標準的議程中,提供物聯網資安合規解決方案的臺灣業者安華聯網總經理洪光鈞於一場演講上,剖析物聯網資安標準的分類,並分享他在認驗證方面所觀察到的現況與趨勢。

近一兩年,物聯網安全議題越來越受關注,例如既有視訊監控主機(DVR)等連網設備遭駭問題不斷,還有更多新興物聯網設備應用發展擴張,因此,導入資安標準來落實產品資安,成為近年備受關注的焦點。例如,臺灣在經濟部與NCC合作下,推行的物聯網資安標章制度,盼國內業者能提升產品資安水準,並將列為公部門採購優先原則,而在最近一場AIoT產業資安標準的演講,我們看到國內提供物聯網資安合規解決方案的業者討論此議題,他們是從國際間物聯網設備資安導入與認驗的角度,說明現況觀察。

對於通過物聯網認證與標準,就現階段而言,國內仍有許多廠商其實還沒做好準備。安華聯網總經理洪光鈞指出,在他們的經驗中,有一半的客戶是在很臨時的狀況下,來詢問認驗證該如何做,也就是在產品已經設計規畫好,到了後期的階段,才知道有認驗證需要通過。

對於物聯網認驗證的現況,導入前有那些注意事項?洪光鈞說,首先,第一件事,就是要能了解物聯網資安標準的分類,他歸納為三大面向,分別是法規規範,品牌要求,以及產業需求。

在法規規範方面,屬於強制性的要求,如美國FIPS-140-3、英國CPA等,在品牌要求方面,是業者會要求各自的供應商,必須符合業者本身所制定的安全要求規範,如Amazon、Apple、Google,以及AT&T、Nokia與Siemins等;在產業需求方面,包括國際標準化組織(ISO)、國際電工委員會(IEC)的標準,隨著產業物聯網發展跟成熟,現在這類標準越來越多,包括資通訊產品的ISO/IEC 15408,物聯網設備的CTIA,以及工控產業的IEC 62443等。同時,還要注意產品銷售的國家、區域、產業,以及銷售對象是政府、品牌與標案等。

引發我們關注的是,在談到產業需求方面,洪光鈞強調,已有越來越多的第三方非營利組織是出標準或認證/標章計畫。這意味著,物聯網設備符合資安標準已是市場看重的潮流。

他並舉例,以設備本身的認證而言,若是一個物聯網產品的業者,想要將設備賣到美國市場,像是帶有無線網路功能的智慧家庭監控設備,可以遵循何種第三方標準?他說,美國無線電聯盟(CTIA)近年推動一項IoT Cybersecurity Certification Program就是一例。而這樣的產品認證,所需認證時間大概是兩三個月。

將有更多安全標準聚焦開發流程,如工控標準已有相關認驗證

另一個我們關注的焦點,是在品牌要求方面,洪光鈞還強調了一點,是廠商在產品安全的要求上,不只針對產品本身,也可能包含開發上流程安全的要求,而他已經觀察到,有越來越多安全相關標準聚焦於此,因此,對於認證範圍的確認,必須要特別注意。

他進一步說明,以產品本身安全性而言,認驗證較單純,要求項目比較偏技術性項目,而開發流程安全的範圍牽扯較大,往往需要外部顧問公司協助,因為這可能牽扯到開發流程管理流程。

他以業者自行開發的工控系統的情境來說明,該業者本身有開發團隊、PM、RD、QA與售後支援等,而在工控標準IEC 62443中,可取得認證的部分,包含IEC-62443-2-4,以及3-3、4-1與4-2等。簡單而言,2-4與3-3屬於管理流程面,4-1是開發流程面,4-2則是針對產品本身安全的認證。而此管理制度分成四個成熟度等級,他建議至少要達層級2以上,同時,由於這方面牽扯到內部管理措施,因此認證時間較長,約在半年到一年。

整體來看,他表示,對於臺灣IoT設備的業者或OEM、ODM廠商而言,瞭解產品銷售對象、地區是否有強制性要求,或是業者客戶是否指定與要求,就是最簡單的方式,不過,洪光鈞指出,根據目前他們遇到的狀況是,很多時候設備業者也沒辦法告訴製造商要取得什麼認證,所以也無法及早與開發單位溝通。他也感嘆,當認驗證時發現缺失要修正改善,會是取證業者面對的一大挑戰,容易造成時程無法掌握。而這樣的問題,就是業者最好要能先注意到的狀況。

及早掌握需求才能更具競爭力,對於現今這樣的趨勢應要有所準備

對於物聯網產品在資安的要求,洪光鈞強調,現在物聯網安全已經要變成基本要項,因為歐美國際大廠都已經在做這件事,由於臺灣很多都是供應商,因此必須跟上腳步,而且,如果現在還是不想做,但要知道的是,之後這會變成一個基本門檻,不論進入那個市場都必須通過相關認驗證,這也意謂著,通過認驗證才有與國際產品競爭的資格。

對於物聯網資安的認驗證,洪光鈞整理出五個導入與取證上所需要的注意事項,包括瞭解物聯網資安標準的分類、挑選適合的標準、投入前的準備、導入或驗證時的配合事項,以及說明標章、證書的幫助。

特別的是,還有一個常見狀況是,洪光鈞說,在他們過去經驗中,當客戶進行認驗證時,雖然溝通、預算及時程都準備好了,但在產品送到認驗證機構時,發現產品缺失要修正,容易發生問題,因為修正與改善的時程沒法掌握,他們遇過修正耗時半年或一年的狀況。他建議,最好要與開發單位有良好的溝通,加強安全開發,並預留修補時間。

熱門新聞


Advertisement