Network Hardware / 網通設備

資訊安全專欄 焦點 現場直擊專訪

UL推出首款針對IoT裝置的安全評等,共5種認證等級標章,協助製造商與消費者為資安把關

文.圖/Johan 2019-11-27 08:00:00
近年來,物聯網(IoT)發展越來越夯,IoT 裝置應用如智慧家庭、車聯網等產品紛紛出籠,當所有裝置都能連上網時,就可能成為駭客入侵的缺口,因此資訊安全顯得關鍵!當一般製造商普遍欠缺對資安威脅防範的能力,資安威脅會隨著新漏洞被挖掘而產生動態變化,產品如何在資安層面進行防範,並做到消費者保護,成為製造商面臨的最大難題。

目前UL正藉由IoT安全評等 (IoT Security Rating),協助產業定義各種 IoT 產品的資安防護能力。到底 UL 是以什麼為基準來評估?當前產業面臨的資安危機有哪些?以下就是UL安全專題講座所推出的全新IoT裝置安全認證內容。此全新的認證標章,將協助製造商與消費者在IoT浪潮下,資安把關最前線!

UL安全專題講座,邀請到UL身分識別管理安全部業務發展經理 薛正先生主講


UL IoT安全評等簡報內容說明

有關於這次講座的重點,請參考以下的現場直擊!

有關於UL公司,是全球知名的安全專家,此簡報說明該公司推出的各種安全認證、標準、認證數量等參考數據


由於5G的來臨,將推動IoT的蓬勃發展。這是預估的數字,右邊則是所擴及的市場領域


智慧IoT的導入,將讓人們的生活更加美好,但是…


此簡報中,薛先生以核災的圖,來警戒若無安全措施,將有可怕的影響


這裡列出車諾比核災事故,以及福島第一核電廠事故,來說明安全把關的重要性,以免導致可怕的災難


現在回到IoT產品吧! 由於當今各種3C/IoT裝置都能上網,但是安全性方面呢? 消費者如何得知這個產品安不安全? (例如是否有安全漏洞而被駭客入侵,或是偷偷傳送資料回公司等等) 這裡的數據說明了一切,亦即: 當今有9成消費者認為聯網產品必須具備足夠的安全性、69%消費者擔心智慧家庭裝置被駭、71%的千禧世代用戶期待製造商應執行足夠的資安評估、但我們怎麼判斷聯網裝置的安全性?


當今面臨的問題,就是聯網裝置的資安風險,應該由誰來負責呢? 要誰來保護消費者? 如何保護呢?


由於各國陸續針對資安來立法,包括美國加州與奧勒岡州於2020年要推出IoT裝置安全法案、美國IoT網路安全改善法,還有歐盟已推出GDPR與歐盟網路安全法案,至於亞洲方面,也有中國物聯網安全國家標準! 因此資安已是各IoT廠商必須嚴正看待的事情


資安? 到底怎樣才算安全? 由於安全性難以量化,當今也有許多安全資訊不透明 (某CPU廠商漏洞百出,陸續被第三方資安公司發掘),再加上現有標準的挑戰,以及動態安全風險的存在。使得製造商在面臨產品資訊安全上,擁有相當大的挑戰


由於沒有絕對的安全 (Apple iPhone也不敢稱是最安全的,因為駭客會一直找出漏洞),因此資安的防禦所追求的,是「相對安全」。也就是當今已知的漏洞一定要補足,製造商需要快速且低成本來評估流程以幫助消費者進行購買決策(例如有安全標籤,讓消費者買得安心)


為此,UL根據前20大資安設計準則,推出了針對IoT產品所設計的安全評等,共有5級:依序是Bronze (銅)、Silver (銀)、Gold (金)、Platinum (白金)、Diamond (鑽石)等。類似飯店的星等設計,讓消費者可以根據這個標章來分辨該IoT產品的安全等級


那麼UL是如何針對IoT產品進行評等的? 這裡列出部份的評等項目,包含L1至L5共5種等級。只要全部通過者,就能列入該等級。而這個安全評等項目,也會隨著時間的推移,以及未來新發現的新型態資安漏洞,來進行新增或修正,以讓IoT裝置的安全評等隨著未來的需求變得更嚴謹


這裡說明UL的IoT安全評等依據,參考全球產業架構的標準而設定。因此有足夠的威信與安全把關能力,以幫助製造商來進行產品的安全評等!


至於有哪些認證項目,UL表示有7大類別,共40多項測試項目。因此製造商想要拿到這個金牌認證貼紙,可不簡單。一旦拿到了,也代表您的產品安全性非常可靠,也能增加您產品的賣相,讓消費者更加安心


通過UL的IoT安全評等之產品,可以在產品包裝或是標籤上,打上該認證標章,也就是會看到銅牌、銀牌、金牌、白金牌、鑽石牌等5種等級 (感覺有點類似電源供應器產品的80 Plus認證),而UL官網也會列出通過IoT安全評等認證的產品,讓消費者參考選購


也就是說,由於美國IoT安全法案即將上路,裡面規定製造商的產品要進行過適當的安全評估,才能上市。而UL也就是針對這個部份,設計出5星等的IoT安全認證服務,以幫助製造商幫IoT產品安全進行把關。當一個產品送測時,需要1到3週的評估,而且每半年會進行一次監測(因為資安不是固定的,後面還是有機會被駭,因此每半年檢測一次是必要的,也許有可能某金牌產品因為新的漏洞出來之後,就被打入銀牌產品。當然UL也會優先對製造商進行告知,以讓製造商打入新的補釘來維持其產品的安全星等)


最後,UL表示由於連網裝置的「資訊安全」已是歐美各國所重視的議題,並祭出規範,要求製造商要遵循。而UL推出的IoT Security Rating (IoT安全評等),是世界第一個針對IoT裝置所設計的安全評等,提供7大類別40多種測試項目來嚴謹評估,幫產品打上五種安全等級,讓資安資訊更透明,也幫助消費者更容易選購到各種安全等級的IoT產品


從上面可以得知,由於連網裝置的「資訊安全」已是歐美各國所重視的議題,並祭出規範來要求製造商要遵循。而UL所推出的IoT Security Rating (IoT安全評等),是世界第一個針對IoT裝置所設計的安全評等,提供7大類別40多種測試項目來嚴謹評估,幫產品打上五種安全等級,讓資安資訊更透明,也幫助消費者更容易選購到各種安全等級的IoT產品。

由於此安全評等仍在推廣中,加上製造商產品送驗證需要花時間,因此市面上要看到貼有上述UL的銅牌、銀牌、金牌、白金牌、鑽石牌等5種安全評等認證標章的產品,最快也是2020年了。消費者若想要讓自己買到的智慧裝置(包含IoT裝置、智慧連網裝置等等)有「可看得到的」資安等級,那麼就稍等等,2020年這些裝置就會與大家見面了!

UL身分識別管理安全部業務發展經理 薛正先生


更多Network Hardware / 網通設備
發表您的看法

請勿張貼任何涉及冒名、人身攻擊、情緒謾罵、或內容涉及非法的言論。

請勿張貼任何帶有商業或宣傳、廣告用途的垃圾內容及連結。

請勿侵犯個人隱私權,將他人資料公開張貼在留言版內。

請勿重複留言(包括跨版重複留言)或發表與各文章主題無關的文章。

請勿張貼涉及未經證實或明顯傷害個人名譽或企業形象聲譽的文章。

您在留言版發表的內容需自負言論之法律責任,所有言論不代表PCDIY!雜誌立場,違反上述規定之留言,PCDIY!雜誌有權逕行刪除您的留言。

最近新增

最多人點閱

© PCDIY Media CORP.

本站圖文著作權所有 未經授權 不得任意轉載使用