各位大家好,我是Leodaddy,過往參加了第13、14、16屆的鐵人賽分別寫了隱私建立安全數位生活、專案管理的難忘的過程經驗與用簡單又白話方式介紹專利知識的IT專利大冒險:IT人該懂的創新之旅,參與三次鐵人賽都順利完成30天不間斷發文,過程中也結識許多各領域的高手得到許多回饋,更是我再挑戰下一次鐵人賽的最佳養分,再次感謝ithome提供這優質平台能讓小弟再度挑戰鐵人賽分享自己的觀點。這次要跟各位分享在規劃物聯網生態架構的經驗,當我們沉浸在智慧生活的生態下充斥了許多危機,這該如何保護自己的安全呢?在享受便利科技之時資安威脅與隱私議題也必須能兼顧,並快樂享受智慧生活所帶來的數位科技的便利。
物聯網(Internet of Things, IoT)這專有名詞的出現也很久了,根據韋伯字典針對IoT定義「允許使用網際網聯網向物體和設備(如:固定裝置和廚房用品)發送訊息或從物體和設備接收訊息」。隨著時間的演進及科技的日新月異,物聯網的應用如雨後春筍的快速發展,像是智慧家庭、智慧醫療及工業物聯網等應用場景,已經逐漸深入進到我們的生活環境之中,然而,這也造成有心人士虎視眈眈的覬覦這塊領域,因此物聯網的普及也帶來了前所未有的安全與隱私挑戰。這次將以個人參與物聯網專案規畫以淺顯易懂的方式,介紹物聯網安全與隱私的核心問題等議題。
物聯網的應用精隨即是海量般的裝置彼此作連結,並進行資料數據的交換,而這些裝置可能是智慧電表、智慧醫療穿戴裝置、工業領域感測器、智慧門鎖,其中資料數據於裝置、網路與雲端各端點之間傳遞,這過程中一旦被駭客或有心人士介入利用即缺乏安全的保護,可能造成資安危害風險、隱私資料的外洩與物聯網的系統運作的穩定性大幅降低。物聯網的資安危脅地圖如下所示。
在物聯網運作之下常見安全與隱私威脅及防範作法,以最佳實務與實際做法整理出下面的表格呈現。
隱私威脅 | 最佳實務 | 實際做法 |
---|---|---|
採用弱密碼 | 強化身份驗證與存取控制 | 採用多因子驗證(MFA) |
裝置韌體未更新 | 及時更新韌體機制 | 強制更新韌體機制 |
使用未加密的的通訊協定 | 加密資料傳輸 | 使用 TLS/SSL 保障通訊安全 |
惡意軟體與殭屍網路 | 安全更新與修補機制 | 自動更新機制 |
隱私數據收集未明確告知用途 | 隱私設計規範 | 將以隱私考量進行系統設計規畫 |
使用者對於資安的認知意識 | 不斷的教育洗腦使用者 | 引導使用者修改預設密碼、定期更新裝置,培養安全意識 |
隨著物聯網技術應用的成熟以至於市場的普及,相關的國際組織皆有提出了相關安全與隱私規範,後續幾天還會再進一步介紹各法規的相關規定。
近幾年AI應用的大爆發,各式裝置都結合了AI運算的功能,相對的物聯網與AI的結合應用只會越來越多,反觀安全威脅風險也都會大幅提升,且兩者的結合將會有更多的大數據分析同時也提高了數據被有心人士濫用風險。另外,未來的量子運算產業將被視為下一波的發展熱潮,根據Grandview Research的預測指出全球量子運算市場規模將從2024年的 14.2 億美元成長至 2030年的40 億美元,年複合增長率大約 20.5%,因此量子運算的相關應用威脅,需要提前規劃佈局相關量子安全應用技術的資安防範。
圖片來源:Grandview Research
物聯網安全與隱私是動態、跨領域又是日趨重要的議題,對於技術人員而言需從系統規劃設計到維運落實安全機制並恪遵資安規範框架,對管理者而言除掌握整個狀況局面外則需兼顧各項法規遵循及風險控管,最後對於終端使用者養成良好的數位安全習慣也才是關鍵中的關鍵啊!但要使用者養成習慣真的比登上太空還難…