物聯網(IoT)設備屬於嵌入設備,
透過整殼軟、硬體與網路的的小型構建,
常見在車輛、電器、手錶、運輸系統等應用場景。
物聯網設備具備能互相通訊的特性,能夠自主交換資料與運作,
像是監控環境的溫濕度、智慧汽車的感測模式、
控制工廠的機器或流程,或是倉管系統等等。
物聯網帶來的便利與運作特定,
帶給現代社會各種面向的效率提升,
但也因聯網特性同時帶來安全與隱私的挑戰威脅。
物聯網的首要資安風險與挑戰,首先是安全與隱私。
受限於硬體裝置效能與運作特性,當IoT設備運作時,
不見得能運行標準的加解密機制,進而採用「明文」方式傳輸資料,
使得傳輸過程的敏感資料得以遭到窺探與搜集。
而「智慧家庭」、「智慧家電」的普及與應用,
更是讓家庭成員資料成為潛藏被偵測監聽的風險破口。
再者是物聯網設備搜集的資料,通常會傳送至設備原廠伺服器,
可能進行資料分析應用,可能基於使用習慣推薦分析,
也可能用於耗材使用頻率計算與推薦,
過程中也會帶有可識別家庭資訊的隱私資料。
最後則是物聯網本身是否能經過適當的存取管控,
例如有強度的認證機制,以及權限的授權管理等。
也可能因爲物聯網設備本身資源的受限性,而成為身份安全的威脅來源之一。
物聯網在個人消費場景,可能像智慧冰箱、音箱等等,
多半配備有聲音監控、手勢監控或光線監控等設計,
為了應用這些便利的功能,很多時候也只得接受廠商解決方案的設計。
因此選擇有「信譽」的物聯網廠商,可能會是第一個能採行的具體措施,
再者在物聯網連線過程,透過監控與設備維護階段,
也可以確保設備本身的軟體、韌體安全性,以確保設備不會遭第三人運用,
像閉路電視監視器系統等,就多有新聞爆出遭惡意他人利用的新聞等等。
另外就是對於設備回傳資料的選項,檢視有無相關資料回傳說明,
或是關閉回傳機制,藉此減少資料回傳可能(但同時減損生產力),
或是網路監控設備查看是否多有異常流量、可疑 C&C 的足跡等等。
基本上隨著邊緣運算、AI 功能的盛行,
有更多我們身邊的裝置設備都開始能接受聯網以及進行邊緣運算,
也由於它可以在更貼近使用者端環境進行資料搜集、分析與應用,
也因此可能可以提供更好的決策或使用推薦,
進而可以減少資料回傳到中心端的架構,減少因傳輸、保存導致的資料管理議題。
而在企業端也有越來越多的產業會擴大對物聯網的應運,
像是運輸、零售、製造與醫療產業等,
也都會透過周邊物聯網設備搜集更多的資料進行分析與應用,
但過程中對於設備本身安全性的強化、傳輸過程的加密安全,
以及搜集資料的中央伺服器的存管與後續應用,
也都會在物聯網環節須要留意的身份安全威脅領域。