產品安全認證機構UL與產業組織MIPI Alliance正各自為推動更安全的物聯網(IoT)而盡力;UL期望能在今年底公佈物聯網閘道器安全標準,以及一套消費性物聯網產品的軟體安全性的最佳實踐範例,此外其目標是在明年首度發起針對物聯網硬體安全性的行動。

至於MIPI Alliance則是呼籲廠商們加入一個新成立的物聯網安全性工作小組,並計劃在今年針對橫跨汽車、手機與物聯網裝置等採用MIPI互連的系統,發表安全性架構草案。

然而有部分產業專家認為,目前關於物聯網安全性的行動遠遠不夠;如美國哈佛(Harvard)大學講師、安全專家Bruce Schneier,在去年11月美國發生大規模Mirai網路襲擊之後的一場國會聽證會上表示:「法規是必須、重要而複雜的,也會來臨;我們不能等到一切已經太晚、無法承擔忽視這些問題之後果的那時候。」

Schneier認為,消費者通常不會願意為了安全而花更多錢,但:「政府能強制物聯網裝置製造商遵守最低限度的安全標準,要求他們保障裝置的安全性,就算消費者不在乎;政府機關可以要求製造商負起責任…細節需要謹慎思考,但無論是哪一種方法,都應該要提高裝置若不安全可能帶來的成本,讓廠商有花錢保障裝置安全性的動機。」

事實上,目前只有兩家廠商已經取得第一版UL 2900網路安全標準認證,此標準是UL在2016年4月發佈;不過UL表示,還有更多產品目前正準備通過認證程序。

UL的安全性首席工程師Ken Modeste表示:「有部份產業已經相當成熟,有專門的網路安全團隊能快速反應;但其他廠商如創新消費性物聯網業者卻還不夠成熟,可能只有一個人在負責因應安全性問題並尋找指導原則。」

在此同時,UL也將2900標準擴展至包括各種存取控制、大樓自動化等裝置;目前有10家廠商正參與擬定UL的消費性物聯網最佳實作準則,以及物聯網閘道器規格細節,預期在近期可以公佈。Modeste表示,UL認為建立安全性標準是一個長期性任務,需要花費許多年時間才能建立因應大多數網路安全風險的框架,雖然不是萬靈丹,但能做為一個基礎。

而Modeste也指出:「對硬體安全性的需求變得越來越普遍,因此我們的目標是在明年中展開相關行動;我們在支付終端以及汽車應用方面已經有一些硬體計畫,目標是找到一個方法因應所有的硬體。」

UL的硬體安全性計畫可能是嘗試建立一個針對裝置如何使用密碼以及密鑰來儲存、存取資料的認證程序;Modeste表示:「我們歡迎與相關領域的廠商們合作,」他並指出需要包括汽車、FPGA與微控制器等領域的硬體專家共襄盛舉。

MIPI發起成立物聯網安全性工作小組

MIPI Alliance最近公開呼籲業界廠商加入一個新的安全性工作小組,目前小組成員已經包括Qualcomm、Robert Bosch、STMicroelectronics與Synopsys等大廠。

該工作小組的目標是在今年底之前,開發一個概述佈署MIPI互連之安全性目標與威脅模式的框架;正在探索的領域包括端點身分識別(endpoint identity)、感測與生物特徵資料,以及針對汽車、可穿戴裝置與銷售終端裝置等產品的受保護內容。

MIPI之安全性工作小組主席Enrico Carrieri接受EE Times電子郵件採訪時表示,該小組並不打算著墨諸如加密演算法等規格,因為不同市場都有不同的、相互競爭的需求;小組的工作成果將會與現有MIPI相容性測試整合。

除了MIPI之外還有許多單位在嘗試推動物聯網安全性,如美國國家標準技術研究所(National Institute for Standards and Technology)正在與產業顧問合作,在線上教育工程師如何採用ISO/IEC 27002/27019、NIST IR 7628與IEC 62443-3-3等標準。

在英國,一場於2015年5月舉行的物聯網安全性高峰會上,研究人員破解了Enigma密碼機並協助成立了物聯網安全性基金會(IoT Security Foundation,IoTSF);目前該組織成員包括ARM、華為(Huawei)、IBM、Infineon、Intel、NXP與Vodaphone等大廠,並與來自南美、澳洲等地的專業人員連結。

IoTSF的目標是成為最佳實踐的資訊交換中心,能提供成員簡易、快速使用並經常指向外部資源;該組織在去年12月發佈了第一套最佳實踐準則,並正在探索如何與UL、TUV Rheinland等機構合作建立認證程序的方法。

另一個IoTSF的工作小組正在嘗試定義自我認證標準,還有其他人正在打造物聯網安全性的輪廓,並尋求補救現有裝置以及在發現漏洞時提出報告的方法;有一位小組領導人最近在EE Times美國版網站上留言,表示:「物聯網安全性是一個邪惡的挑戰,沒有通用的解決方案而且是比純粹技術性需求更廣大的問題。」

此外如筆者先前的文章所提到,Cloud Security Alliance有一個物聯網工作小組正在定義最佳實踐,不過看來並沒有建立認證程序的計畫;工業網際網路聯盟(Industrial Internet Consortium)則於去年發表了一套安全性框架,但不著墨消費性物聯網領域。

Online Trust Alliance已經發表第二版的物聯網信任框架(IoT Trust Framework);在今年稍早,AT&T、IBM、Nokia等廠商則是成立了 IoT Cybersecurity Alliance,是另一個關於物聯網安全性的資源。

編譯:Judith Cheng

(參考原文: UL, MIPI Bolster IoT Security,by Rick Merritt)