大舉投入車聯網研發前,台灣政府跟產業有信心「資安零危機」嗎?

【我們為什麼挑選這篇文章】台灣加速發展 5G 建設下,勢必也將帶動車聯網產業,據工研院預估,2023 年時全球汽車電子與車聯網產值預估達 4511 億美元(約 1.3 億新台幣),從發展規模可以想見必定有許多業者準備投入相關研發。

但台灣目前面對物聯網的攻擊有足夠的配套措施嗎?資策會參考美國、歐盟、日本訂立法規為例,建議台灣業者跟政府面對資安威脅不應掉以輕心,從研發過程到進入市場,每個環節都可能是駭客下手的機會。增加資安防護雖會增加成本,最怕萬一有漏洞,省了小錢反而花了大錢。(責任編輯:鄧天心)

作者:資策會科法所 法律研究員 蔡淑蘭

車聯網面臨的資安威脅

2015 年資安研究人員駭入並改寫車載資訊娛樂系統供應商所開發的 Uconnect 車載系統上的晶片韌體,以遠端控制汽車。而 2016 年美國休士頓的竊賊重新改寫汽車電腦,使其接受通用的 key fob,以竊走該汽車等案例都顯示,車聯網產品資安正面臨重大的挑戰。

由於目前汽車的通訊方式,主要有 CANbus、Ethernet、MOST、FlexRay,但在主流方面已由穩定但頻寬不足的 CANbus 轉為 Ethernet,這代表過去在資訊系統常見的資安問題,未來也同樣會發生在汽車上。

因此,GSM 協會 (Groupe Speciale Mobile Association, GSMA) 於汽車物聯網安全:如何應對最常見的攻擊模式 (Automotive IoT Security: Countering the Most Common Forms of Attack) 報告上整理目前車聯網面臨的主要資安威脅,且美國國家科學技術研究所 (National Institute of Standards and Technology, NIST) 也在 NISTIR 8200 報告草案 (Draft NISTIR 8200 Interagency Report on Status of International Cybersecurity Standardization for the Internet of Things (IoT)) 中,提出車聯網資安目標,希望能提升整體車聯網資安防護能力。

GSM 協會整理的車聯網主要資安威脅如下:

1.        模擬車聯網後台服務,控制韌體更新、通訊安全漏洞及第三方應用程式的越獄 (Jail Break)。

2.        透過本地端與遠端 CANBus 儀控制 ECU 決策。

3.        透過濫用安全身分驗證或鑰匙等級來操縱關鍵通訊 Channel。

4.        透過標準無線協定的漏洞,遠端執行程式碼或模擬感測器等四類。

而美國國家科學技術研究所 (NIST) 提出的車聯網資安目標則如下:

1.        機密性:V2V, V2I, and V2X 通訊需要加密的身分驗證防護。

2.        完整性:系統資訊內容須避免真實資訊被修改。

3.        可用性:V2V, V2I, and V2X 通訊的即時性需具有復原能力並防護網路。

達成車聯網資安目標之方法

因此,若要達成前述美國國家科學技術研究所 (NIST) 提出的車聯網資安目標,參考資訊系統的資安防護作法,就必須在產品生命週期的設計開發、產品驗證、產品製造、產品銷售四大階段都進行資安防護要求,除 產品設計開發時,需進行隱私或資訊安全風險評估,並將 Security by Design 觀念融入產品的設計開發以外,加強產品製程的資安防護也可避免生產線上的惡意感染

然而最重要的是,在產品測試驗證與銷售階段,除內部實驗室進行完善的產品測試、Safety 驗證以外, 銷售通過 Security 驗證的產品也是達成車聯網資安目標的重要因素。

因此廠商願意若自主進行資安驗證,也可透過提高產品安全性的方式,增加自家產品銷售競爭力並與廉價產品進行市場區隔,避免削價競爭。

國際與我國車聯網資安驗證發展趨勢

由於車聯網亦屬廣義的物聯網,僅是產品驗證標準與程序不同,而觀測國際物聯網資安驗證標準與制度的現況,許多物聯網資安驗證標準與制度仍在持續發展中,故車聯網資安驗證制度亦屬仍在發展的階段,尚未成熟,故美國、歐盟仍將車聯網資安驗證放在物聯網驗證制度下,以下介紹美國、歐盟、日本的物聯網驗證制度:

(一)  美國

以美國政策而言,2016 年歐巴馬政府的國家資安行動計畫 (Cybersecurity National Action Plan) 下的網路安全保障計畫 (Cybersecurity Assurance Program),係美國國土安全部 (Department of Homeland Security) 採取 UL 公司與其他物聯網產業合作夥伴共同擬定的 UL2900 標準,以測試和驗證物聯網內的聯網設備,使消費者可以確保物聯網設備已經通過符合安全標準的驗證。

同時 2017 年美國網盾法案 (Cyber Shield Act of 2017),也擬透過 Cyber Shield Program 計畫,以確定並提升符合產業主導的網路安全與資料安全標準的物聯網產品為目的,建立物聯網產品的自主資安驗證制度。

並透過 物聯網產品安全等級標籤,配合 Cyber Shield Portal 網站,列出通過驗證的物聯網產品 ,讓消費者能清楚了解物聯網產品的安全性。

(二)  歐盟

歐盟目前尚未有車聯網或物聯網資安驗證制度,但歐盟也體認到資安驗證制度有其必要,因此在 2017 年 5 月歐盟資訊暨網路安全局與半導體業者發布的「網路安全共同立場報告 (Common Position On Cybersecurity )」提出可信任的物聯網標籤的概念,希望能讓物聯網營運商作為符合 NIS 指令要求的合規性證明。

該報告建議歐盟執委會,為使歐洲標準的發展能有效並適用物聯網,應進行歐洲認證計畫和相關信任標籤的發展評估。因此歐盟在 2017 年提出 IoT 安全基準建議 (Baseline Security Recommendations for IoT), 定義 IoT 安全基準的安全框架,考慮使用資安驗證或標籤之方式,讓供應商可以對物聯網安全性有更好的理解,並全面提升產品透明度 ,以利供應商教育終端用戶和消費者,使其了解物聯網安全。

(三)  日本

目前日本對於物聯網產品資安驗證是採自主驗證方式,在工業物聯網產品方面,2014 年 4 月經濟產業省建立之工業物聯網產品自主性驗證制度 EDSA 驗證制度,係驗證物聯網 (IoT) 系統的 M2M 設備。

至於可用於車聯網產品的通用驗證標章(認証マーク),日本於 2017 年發布之 IoT 安全綜合對策(IoTセキュリティ総合対策)指出,若 物聯網產品滿足一定的安全要求,將發給物聯網設備驗證標章,並在物聯網設備的比較網站上,推薦獲得驗證標章的設備 ,以提升廠商導入安全產品設計之意願,此措施預計最快 2018 年實施。

(四)  我國

我國目前尚未針對車聯網資安驗證提出資安標準與檢測規範 ,但已開始建構通用之物聯網資安驗證制度。在最新的國家資通安全發展方案(106 年至 109 年)政策中,要求物聯網目的事業主管機關,必須建立物聯網資安產業標準及檢測認驗證機制,並輔導廠商產品進行資安檢測,並於每年訂定相關物聯網資安驗證標準。

目前 經濟部工業局已發布影像監控系統系列下的網路攝影機資安標準與測試規範 ,並將陸續發布相關影像監控系統的資安標準與測試規範,預計於今年 9 月後發表第一家 IoT 產品驗證實驗室,以進行 IoT 產品的資安驗證與推廣。

增加資安驗證雖然會增加成本,但能因此不做嗎?

就物聯網資安驗證制度對我國車聯網產業可能產生的影響,若從整個產品的生命週期來看,在產品設計開發方面,加入 Security by Design 要求的車聯網產品研發,將增加研發難度、成本及時間。

在產品驗證方面,新增的 Security 驗證成本與驗證時間,對於中小企業或是客戶採購量不大的企業而言,都是額外成本的支出且影響其產品上市的時間。

而在產品製造方面,增加產品製程之資安防護要求,也意味著產品製造的成本增加,對於 中小企業來說,能否負擔相關的資安防護成本,是資安防護的一大考驗

然而對車聯網產品的廠商而言,如果前述的挑戰都能一一克服,並通過資安驗證,對於企業而言,不僅能符合資安法規或客戶採購合約的資安要求,也能提升消費者信心,並強化其市場競爭力,以避免與其他廠商進行價格戰,提升產品的品質,也強化整體物聯網的安全性。

車聯網的發展逐漸加速,但伴隨而來的風險是車聯網資安威脅也日益猖獗,因此美國、日本、歐盟、我國均已開始討論相關標準與驗證制度。對於想在物聯網供應鏈佔有一席之地的我國產業而言,物聯網資安驗證制度,雖會增加企業的營運與研發成本,但企業若提早布局因應,不僅可提升消費者信心,強化物聯網產品之國內、外市場競爭力與安全性,也可避免落入削價競爭的困境。

__

(本文經合作夥伴 資策會科法所 授權轉載,並同意 TechOrange 編寫導讀與修訂標題,原文標題為 〈聯網產品資安驗證趨勢分析—以車聯網為例〉 首圖來源:Youtube。)

延伸閱讀

趨勢科技最新合作:與 Moxa 共組新公司,打造「工業物聯網」最強資安!

【未來的量子危機?】資安業者警告:量子電腦數秒可破解公鑰,企業應做好全面應對

台灣舉辦電子化選舉不難,但是國家的資安防護概念有跟著數位化嗎?


工廠只有半自動化也可以用機器學習嗎?

打造自己的精實生產工廠不用花大錢翻新
做 2019 年雲端應用大調查,了解節省成本的技術趨勢
>> 進入調查頁 <<

點關鍵字看更多相關文章: