圖片來源:https://pixabay.com/images/id-690503/
2019年物聯(lián)網(wǎng)發(fā)展延續(xù)2018年熱潮,從與AI��、5G����、云端的結(jié)合,到數(shù)字孿生�、數(shù)據(jù)經(jīng)濟應(yīng)用,乃至道德���、安全���、民主化的規(guī)范面等��,更加聚焦于衍伸應(yīng)用和安全基礎(chǔ)的建立���。若以政策法規(guī)、市場需求與技術(shù)發(fā)展作為觀察指標��,物聯(lián)網(wǎng)在2019年持續(xù)多元發(fā)展����,應(yīng)用上更為實務(wù)落地,為廠商帶來實質(zhì)效益�,也為城市帶來防護的能耐。
近年大規(guī)模物聯(lián)網(wǎng)網(wǎng)絡(luò)攻擊事件頻傳���,各國逐漸由民間自主應(yīng)對����、轉(zhuǎn)為官方立法防護�����,例如美國即將問世的《物聯(lián)網(wǎng)設(shè)備安全測試準則》�����、歐盟預(yù)計于2019年通過的《數(shù)字安全法》、日本《通信事業(yè)法》修正等����。廠商普遍對相關(guān)立法持正面態(tài)度,部分廠商也順應(yīng)趨勢調(diào)整產(chǎn)品設(shè)計�,讓民眾對物聯(lián)網(wǎng)應(yīng)用更具信心。
美國物聯(lián)網(wǎng)安全 由政府衍伸至民間
美國2017年提出《創(chuàng)新發(fā)展與物聯(lián)網(wǎng)法案》����,研擬物聯(lián)網(wǎng)主要程序架構(gòu)和制定頻譜���,近年持續(xù)就物聯(lián)網(wǎng)安全訂定法規(guī)�,例如針對政府部門采購物聯(lián)網(wǎng)裝置進行規(guī)范的《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全促進法案》��、由商務(wù)部建立機制并鼓勵廠商對其物聯(lián)網(wǎng)商品的安全和加密���,進行分級卷標認證的《網(wǎng)絡(luò)盾牌法案》��,以及美國國家標準暨技術(shù)研究院提出的《網(wǎng)絡(luò)安全框架》����,與即將問世的《物聯(lián)網(wǎng)設(shè)備安全測試準則》等��。
日本修法 設(shè)備安全為廠商義務(wù)
隨著物聯(lián)網(wǎng)網(wǎng)絡(luò)攻擊事件此起彼落,美國政府決定以法規(guī)防堵安全疑慮��,例如加州在2018年通過的《裝置安全法》�����,相較于過往法規(guī)的鼓勵性質(zhì)�,該法明文規(guī)定要求聯(lián)網(wǎng)裝置制造商必須設(shè)立合理的安全措施,且每個裝置需配有1組獨一無二的默認密碼�,或要求用戶于第一次使用前設(shè)定新身份認證方式。
日本政府2018年底至2019年初�����,頻頻針對物聯(lián)網(wǎng)安全修法����,原因或與2018年韓國平昌冬奧開幕式遭某國黑客攻擊,以及日本政府全力備戰(zhàn)2020年東京奧運有關(guān)�����。主管機關(guān)總務(wù)省在2019年1月底對《電氣通信事業(yè)法》進行修正����,于2020年4月起要求聯(lián)網(wǎng)終端設(shè)備須具有防非法登錄功能���,例如能切斷外部控制、要求變更初期默認ID和密碼���、可時常更新軟件等�����,且唯有滿足標準��、獲得認定的設(shè)備才能在日本上市�����。此次電信法調(diào)整也要求當非法登錄造成“3萬用戶超過12小時”或“100萬用戶超過2小時”故障時,營運商需將該故障視為重大事故向總務(wù)省呈報����,違者將受到行政處分。
此外�,日本自2019年2月底啟動NOTICE計劃,允許國立情報通信研究機構(gòu)人員可于監(jiān)督下�����,嘗試以產(chǎn)品原廠密碼和弱密碼(例如123456或admin等)登入一般家庭的私人物聯(lián)網(wǎng)設(shè)備,并把可登入名單交給相關(guān)網(wǎng)絡(luò)服務(wù)商����,提醒消費者保護該裝置。
產(chǎn)業(yè)樂觀其成 厘清規(guī)范細節(jié)
政策制定和法規(guī)頒布往往牽動廠商動態(tài)�����,包括成本是否墊高�、標準是否國際互通等,而法規(guī)政策也會對一般大眾造成影響���,例如日本NOTICE計劃公布后飽受社會抨擊��,認為政府試圖登入私人物聯(lián)網(wǎng)設(shè)備的行為��,本質(zhì)上與黑客無異����,且搜集的數(shù)據(jù)與名單恐引起另一波網(wǎng)絡(luò)犯罪和詐欺����。
觀察此次物聯(lián)網(wǎng)相關(guān)安全法案規(guī)劃過程和結(jié)果,雖已將影響范圍從數(shù)字服務(wù)商擴大到產(chǎn)品制造廠,然安全是物聯(lián)網(wǎng)發(fā)展的關(guān)鍵�����,唯有透過政府和廠商共同讓民眾建立信任感����,方能支持后續(xù)的持續(xù)應(yīng)用。相較于2018年中旬《加州隱私法》制定后�,造成科技大廠抵抗和游說新法,多數(shù)廠商對物聯(lián)網(wǎng)安全法規(guī)普遍持正面態(tài)度���。
思科對美國國家標準暨技術(shù)研究院制定的網(wǎng)絡(luò)安全框架��,便認為其可為廠商提供一致標準����,且協(xié)助辨識需管控的風險���,也建議美國國家標準暨技術(shù)研究院發(fā)展隱私框架時,可大幅依循網(wǎng)絡(luò)安全框架的制定原則���,進而提高兩框架的相互操作性和包容性�����,包含蘋果���、IBM��、微軟��、賽門鐵克與趨勢科技等在內(nèi)的商業(yè)軟件聯(lián)盟BSA����,也鼓勵成員就歐盟數(shù)字安全法草案展開相關(guān)產(chǎn)品�����、服務(wù)與流程的自我評估����。
全球物聯(lián)網(wǎng)安全法規(guī)雖陸續(xù)頒行,然部分內(nèi)容尚持續(xù)補強中��,對新法和現(xiàn)行計劃的替代問題�����、法規(guī)依循順序與未來認證計劃的認可范圍等,都是廠商未來適法調(diào)整重點��。
業(yè)者呼應(yīng)政策 針對源頭設(shè)計
物聯(lián)網(wǎng)安全法規(guī)透露政府的重視����,相關(guān)細則持續(xù)發(fā)展中,但就原則而言�,頗有數(shù)字隱私不僅是數(shù)字服務(wù)商的責任,甚至需要做到源頭管理和裝置需具備獨一無二辨識性的意味��,是以相關(guān)廠商也呼應(yīng)政策進行產(chǎn)品調(diào)適����,例如金雅拓Gemalto在2019年初發(fā)表新模塊,將eSIM整合到Cinterion
LTE-M IoT模塊中�����,幫助AT&T用戶強化物聯(lián)網(wǎng)連接安全�����。
在制造過程中將SIM深度整合到模塊����,有助于提高耐用性、耐熱性與耐振動能力�,且eSIM可在物聯(lián)網(wǎng)解決方案長期使用的過程中,透過簡易更新持續(xù)加強安全性���,同時內(nèi)建防篡改機制�����,保護設(shè)備免受不斷變化的網(wǎng)絡(luò)安全威脅��,設(shè)備制造商也無需部署自己的安全生產(chǎn)設(shè)施���。此外,該模塊亦可添加嵌入式安全芯片功能�,將數(shù)據(jù)存放在高度安全的數(shù)據(jù)庫中,僅限獲得授權(quán)的應(yīng)用程序和人員共享�,提供額外安全保護。
達利思Thales的e-Security針對數(shù)據(jù)分析��、數(shù)據(jù)收集儲存���、通訊網(wǎng)絡(luò)物聯(lián)網(wǎng)設(shè)備等3項物聯(lián)網(wǎng)元素��,發(fā)展個別安全對策��,針對受保護的數(shù)據(jù)和系統(tǒng)��,可限制為只有授權(quán)用戶和設(shè)備能存取��,為使裝置能安全連接物聯(lián)網(wǎng)���,每個設(shè)備都需1個特有的辨識憑證�,其發(fā)展的硬件安全模塊nCipher
HSM���,在物聯(lián)網(wǎng)設(shè)備的制造和運作中內(nèi)建硬件信任根(Root of
Trust)��,提供更安全的系統(tǒng)環(huán)境并支持防護應(yīng)用程序��,讓制造商能使用加密處理�、密鑰保護與密鑰管理�����,為每個設(shè)備提供獨一無二的ID���。
智慧城韌性應(yīng)用 強化都市復(fù)原力
鑒于氣候變化和自然災(zāi)害帶來的影響日趨嚴重與未來的全球都市化趨勢�,許多國家在5G和物聯(lián)網(wǎng)應(yīng)用中����,將韌性納為重要議題。例如北京在2018年底成為中國首個將“韌性城市建設(shè)”納入城市總規(guī)劃的城市�����,帶起一波舊房加固改造��、新房風險防治的商業(yè)應(yīng)用����,高通也與智慧城市委員會合作,提供資金協(xié)助遭瑪麗亞颶風重創(chuàng)的波多黎各�����,在智能交通與住宅���、電信與IT基礎(chǔ)設(shè)施等領(lǐng)域重點發(fā)展�����,為物聯(lián)網(wǎng)于智慧城市未來發(fā)展聚焦新方向�����。
韌性衡量指標與架構(gòu)
智慧城市韌性的提升��,主要在強壯度和立即度�����,前者為當城市面對天災(zāi)����、恐攻、社經(jīng)�����、能源危機等不確定沖擊時��,將影響最小化的能力�����,后者則為狀況發(fā)生后復(fù)原時間��。
廠商動態(tài)與技術(shù)應(yīng)用
國際間提倡城市韌性發(fā)展的機構(gòu)中��,以洛克菲勒基金會發(fā)起的非營利組織100韌性城市(100 Resilient
Cities,100RC)最為知名��。該組織以成員面臨的挑戰(zhàn)和方向���,歸納出健康與福利�����、經(jīng)濟與社會、基礎(chǔ)建設(shè)與環(huán)境與領(lǐng)導(dǎo)與策略等城市韌性架構(gòu)�����,以更彈性����、更堅強、更能整合等特質(zhì)�,作為城市解決相關(guān)議題的發(fā)展主軸。
1����、急難防備 守護自然與人為資產(chǎn)
在100RC提出的韌性架構(gòu)中,與物聯(lián)網(wǎng)應(yīng)用最相關(guān)的當屬“基礎(chǔ)建設(shè)與環(huán)境”�,多聚焦于強化自然和人為資產(chǎn)。新創(chuàng)廠商如Jupiter和Coastal
Risk等,透過傳感器收集數(shù)據(jù)配合衛(wèi)星數(shù)據(jù)及模型推導(dǎo)�����,將氣候變化風險信息作為主要商品�,提供百貨、購物中心和高級住宅建商等��,以利其規(guī)劃地點����、建材及因應(yīng)措施。
此市場形成的背后原因����,一方面在于物聯(lián)網(wǎng)傳感器的普遍應(yīng)用,一方面也因氣候異常�,過往的歷史天氣模型已不具預(yù)估性,投資者需更新更實時的工具�����,才能評估對土地長期風險����。
2�、提升網(wǎng)絡(luò)韌性 確保關(guān)鍵性服務(wù)
在提升韌性應(yīng)用上����,持續(xù)且可靠的信息交流、確保關(guān)鍵性服務(wù)的持續(xù)�����,相當重要��,且與公共安全息息相關(guān)��,例如美國急難救助網(wǎng)絡(luò)管理局為了全面提升緊急通訊能力��,打造專供初期應(yīng)變?nèi)藛T使用的全國性無線寬帶網(wǎng)絡(luò)FirstNet��,以保障警察��、消防隊員與緊急醫(yī)療人員等����,在突發(fā)事件時能順暢溝通�,并透過公私合作伙伴機制,2017年委由AT&T進行網(wǎng)絡(luò)建設(shè)����。
由于公共安全災(zāi)防寬帶網(wǎng)絡(luò)能提供火災(zāi)�、洪水與犯罪等現(xiàn)場實時圖像�����,為后方?jīng)Q策者提供豐富準確的訊息�����,故為英國���、澳洲與芬蘭等國的重要政策�����,也成為物聯(lián)網(wǎng)強化城市韌性的重要基礎(chǔ)����。
此外���,系統(tǒng)和路況信息可提供到達災(zāi)難現(xiàn)場的最快路線�。根據(jù)美國國家標準暨技術(shù)研究院公布的清單�����,2018年4月時僅有17款設(shè)備通過認證可于FirstNet使用,截至2019年2月已發(fā)展多達71款裝置�,蘋果和三星等大品牌皆名列其中。
結(jié)語
官產(chǎn)攜手法規(guī)化 不讓物聯(lián)網(wǎng)變危機
網(wǎng)絡(luò)攻擊事件影響范圍和損害越趨擴大���,物聯(lián)網(wǎng)安全是所有垂直應(yīng)用的重要基礎(chǔ)�����,政府訂定法規(guī)一定程度上也希望成為官方認證�,如何讓消費者對產(chǎn)品產(chǎn)生信任感�,使Internet
of Thing不致成為Internet of Threats,將是政府和廠商共同面臨的課題����。
因應(yīng)未來法規(guī)和趨勢����,物聯(lián)網(wǎng)裝置相關(guān)廠商在產(chǎn)品設(shè)計時間,應(yīng)加速導(dǎo)入隱私和數(shù)據(jù)保護技術(shù)��,售后亦應(yīng)提供定期遠程漏洞維護和管理����,借以達到雙贏局面����。
另一方面����,在物聯(lián)網(wǎng)安全防護完善前提下,智慧城市的廣大商機將是廠商的兵家必爭之地���,隨著氣候異常和天然災(zāi)害頻傳����,提升建筑�、小區(qū)乃至城市韌性將如買保險般普遍,而與現(xiàn)代生活密不可分的網(wǎng)絡(luò)通訊��,以及面臨災(zāi)害第一時間作出反應(yīng)的應(yīng)急準備�,將是物聯(lián)網(wǎng)可多元應(yīng)用的領(lǐng)域。
