iT邦幫忙

第 12 屆 iT 邦幫忙鐵人賽

DAY 2
1
IoT

物聯網風險性之探討系列 第 2

DAY2 第二章 風險類別-環境風險-網路層 : 1.1共享技術的漏洞 、1.2 法規遵循的困難

介紹完以上分類標準以及基本架構後,筆者接著就依英國經濟學人研究中心分類,進行各項說明。首先就從環境風險開始說起吧!

https://ithelp.ithome.com.tw/upload/images/20200914/20107482WTO7z5Y7rg.jpg

1. 風險類別--環境風險--網路層
1.1 共享技術的漏洞
《新聞分享》:視訊軟體 Zoom 爆紅!卻狂傳資安漏洞、電腦密碼也有遭竊風險
(新聞來源:自由時報 2020-04-03 https://3c.ltn.com.tw/news/39998 )

《筆者分析及建議》:
一般來說,我們在使用手機APP時,通常APP會要求取得您個人手機的麥克風、攝影鏡頭、相簿使用權,這個權限在同意之後,APP就能取得這兩項功能的使用權,很有可能就利用這些權限,開始擷取您手機的影像、相片或針對您的周遭環境進行錄音、錄影的功能,同理可證,WINDOWS、Mac OS系統也是一樣,假設企業在討論重要技術或策略時,就有可能不知不覺的洩漏營業秘密,此時,物聯網的風險就會增加,尤其是物聯網在往外擴充時,產生更多結點之時,其資料流失的風險就會大大的增加。

企業在使用物聯網設備時,不論軟硬體都得要隨時更新其軟體及韌體,同時也必需有管理者負責審核加入會議的與會者,當然,如果與會者要針對畫面側錄時,正常來說,也無法防範,因此,筆者建議,假設要應用到這類視訊軟體時,盡量先過濾開會資料,同時要隨時在會議進行時,提醒是否涉及重大機密,如有必要,得隨時中斷會議,將重大議題,轉由其他方式,例如以電話或郵件的方式處理。

因此在環境風險-網路層-共享技術的漏洞裡,守門員角色就很重要,這位守門員可能是會議主持人,又或者審核會議的人等等,總之,一定要在會議進行時,列名由誰擔任守門員,筆者在此建議,會議進行時,只要任何涉及敏感字彙、影像、圖文,必要時,得隨時停止或中斷。在會議結束後,重新由守門員或重要第三人(覆核之人),將會議記錄重新審視,如果發現有任何不慎導致重大訊息外流,盡快進行補救措施。

最後,守門員最好針對會議啟用錄影功能,務必將會議錄影檔案留存,以避免後續有糾紛之時,能夠調閱資料,釐清事實。

1.2 法規遵循的困難
《新聞分享》: 交易絕非功能開發完就管用,忽視法規定義恐損害賠償不完。區塊鏈智能合約也是契約,程式設計攸關法律效力
(新聞來源:網管人 2020-07-28 陳宏志 https://www.netadmin.com.tw/netadmin/zh-tw/viewpoint/38B66871BFC2498CA831556FE9EC023F )

《筆者分析及建議》:
首先我們定義一下何謂「法令遵循」? 法令遵循主要係針對企業法律風險作出一套政策及程序上的管理,以確保一般企業遵守相關的法律、命令及行政解釋。 台灣近年來食安事件、工安事件以及金融舞弊等等,均是企業內部缺乏一套嚴密的政策、程序來規範企業對於法律上應作為事項,因而導致重大社會損害及企業信譽掃地。因此台灣的立法者與主管機關也漸漸意識到法令遵循在一般企業中實踐的重要性,因此針對企業內部控制開始規範及公佈相關法令,以免企業違反法律遵循,而產生重大企業損失及風險。

以上的解釋,是針對一般企業及民眾隱私安全所訂定的政策,但是網路世界裡面,幾乎是無法可管的,一般最常見只能在商業需求時,雙方訂立合約時,會產生相關的法令遵循事項,例如以上新聞分享的民事或證券交易法等所產生的債權方面的法令遵循。但是,網路層裡面所有的物聯網資訊分享,基本上,是在一個沒有任何限制的虛擬世界完成的,也由於在虛擬環境裡面,所以網路層變成無法可管的地帶,就算制訂法令規範,對於網路駭客而言,也是不具約束效果的。因此,在物聯網在網路層裡,由於技術無法可管,所以只能有賴自我節制,或者採取更高的防衛技術防範來降低該項風險因子。


上一篇
DAY 1 序章-物聯網風險因子及基本架構簡介
下一篇
DAY3 第三章 風險類別-環境風險-網路層:1.3 供應鏈故障、1.4 在進行惡意探測或掃描
系列文
物聯網風險性之探討30

尚未有邦友留言

立即登入留言