隨著消費者開始將日常生活中的更多方面連上網際網路,一個令人煩惱的問題來了:如果我們生活的每個部分都變「智慧」,我們夠安全嗎?根據思科(Cisco Systems)的預測,到2020年全球將有500億台連網裝置,這意味著駭客有500億個管道能滲透到消費者的網路並偷取它們的個資。

在如火如荼設計突破性物聯網(IoT)創新技術與發表新產品的熱潮中,有兩個重要的因素被拋諸腦後──安全性與隱私;如同我們最近在新聞報導中所見,駭客能入侵連網汽車、甚至連網嬰兒監視器,那些都是實際存在的狀況。

在筆者先前另一篇物聯網安全性文章(參考連結)中,列出了幾個工程師能克服物聯網安全性挑戰的方法,包括結合互通性、教育以及適當的設計;在這個議題有兩個關鍵領域需要更深入探討:第一,我們能如何為物聯網開發社群建立通用標準?第二,我們能如何從初始設計到系統架構將安全性與隱私保護納入考量,並將系統更新提供給已部署的產品?

建立具備兼容性與安全性的通用標準

標準化長久以來是任何產業界都得面對的課題;舉例來說,汽車首度問世時,每家製造商以完全不同的規格打造自己的車輛,這為維修業者、消費者甚至各家車廠都帶來麻煩,除了不方便、沒有效率,缺乏標準也會因為消費者無法操縱自己擁有以外的車輛而產生危險。

在連網裝置問世後,類似的問題也跟著出現。產業界快速成長,眾家業者採取各自不同的市場經營與產品開發模式;讓事情變得複雜的原因是,物聯網解決方案與裝置通常並非只有一種產品,而是有來自不同廠商包括軟體與硬體的無數系統。

整體系統的安全性就等同於其最弱的連結,一個多供應商的環境則可能帶來一系列額外安全弱點。舉例來說,如果有人能命令你家的智慧窗簾在你不允許的情況下關閉,或是開啟你的車庫門、讓你的保全攝影機轉向視野不佳的角落,歹徒就能輕易地闖進你家取走財物。

要維護消費者的安全並避免動員政府主管機關強制以法規來管理市場,身為開發社群一員的我們,需要採取製造商與軟體開發商都能遵循的一貫性標準,讓系統更具兼容性與安全性。跨產業廠商的合作是建立統一通訊協議、確保產品能共同無縫安全運作的關鍵。

將安全性與隱私保護融入設計理念

為了防範宵小,許多人都會在家裡的窗戶裝鐵窗,但設計不良可能反而導致這樣的防護成為火災逃生時的障礙、威脅屋主生命安全;而如果在房屋設計時就將安全性考量納入,就可以避免屋主採取那類無效又危險的保全方案。

今日的連網裝置開發者也面臨相同的情況;市場上的物聯網設備百百種,從廚具、冰箱到自動駕駛汽車,將安全性納入設計可能會很複雜。舉例來說,如果消費者在更新連網洗碗機等大型家電的軟體時遇到困難,可能無法像是處理一般小電器那樣直接送回零售商店,並因此出現安全漏洞。Android的Stagefright軟體漏洞,就有超過9.5億台裝置曾受影響。

除了安全性,隱私保護也同樣重要,在這個智慧裝置大量收集資訊並透過網路交換的世界,稍有不慎就會讓駭客竊取消費者或企業的隱私。為此軟體開發商與硬體製造廠需要確保消費者個人隱私被安全儲存,但這一點說比做容易,應該從設計的角度考量。

要將安全性與隱私保護融入新裝置的開發,需要將整個裝置生命週期管理都納入考量,從產品初始設計、作業環境到系統更新;開發者須謹記於心的是,產品在開發環境之外也需要確保安全。但並非總是有可能從裝置開發的第一天就考量到安全性,特別是物聯網可能是許多舊有技術的綜合產物,如何整合或管理裝置的安全性就很重要。

不可否認的,物聯網將為我們的日常生活帶來正面的影響,但如果我們沒有解決安全性與隱私保護的問題,反而會讓持續問世的不安全裝置讓我們陷入風險,並因此讓政府機關以法規限制的手段介入,妨礙產品與技術的創新。

在因應市場對連網裝置不斷增加的需求之同時,確保其安全性與隱私保護是最需要優先考量的事項;開發社群需要共同合作,建立一致性的標準並將安全與隱私保護納入產品開發生命週期中。透過合作,我們才能實現連網世界的承諾。

編譯:Judith Cheng

(參考原文: IoT Security Calls for Action: Universal Standards,by Mark Skarpness;本文作者為Intel嵌入式軟體部門總監)