每年德國慕尼黑電子展(Electronica)都會舉行的CEO論壇,從兩年前就持續談同一個主題:物聯網(IoT),但是今年終於嘗試闡明如何確保其安全性。

論壇主持人Kilian Reichert在開場時指出,不久前曾發生一場全球性的分散式阻斷服務(distributed denial of service,DDOS)攻擊,讓Paypal與Facebook等網路巨擘的服務都因此癱瘓,而既然物聯網是未來汽車與基礎建設與其他車輛連結的關鍵核心,就有潛在的危險:「我們是否連網的程度越高,面臨的風險也越高?」

對此恩智浦半導體(NXP Semiconductor)執行長指出,自動駕駛並非會取代一切否則全無(all-or-nothing)的技術;在全自動駕駛成為主流之前還有很長一段時間,而且最終不同層級的自動駕駛技術可望讓駕駛更安全:「有九成的交通事故是來自於人為疏失,自動駕駛技術是關於讓駕駛更輕鬆且安全的應用與解決方案。」

20161109 Electronica NT01P1

2016年度慕尼黑電子展CEO論壇參與者,從左至右分別為G&D董事會成員/行動安全部門主管Stefan Auerbach、ST執行長Carlo Bozotti、NXP執行長Rick Clemmer 、德勒斯登工業大學教授Frank Fitzek、Infineon執行長Reinhard Ploss,以及主持人Kilian Reichert
(來源:EE Times Europe編輯Peter Clarke)

德國智慧卡/安全技術供應商捷德(Giesecke and Devrient,G&D)的行動安全部門主管Stefan Auerbach則強調「端對端(end-to-end)安全性」的重要,並表達他對於硬體與軟體協同合作,以及需要可擴展解決方案的信念;但這些顯然是說比做要容易得多。

這場CEO論壇的非產業界代表,德國德勒斯登工業大學(Technical University Dresden)教授Frank Fitzek則指出,5G通訊將會帶來例如軟體定義網路(SDN)、網路功能虛擬化(NFV)等功能,有助於快速辨別安全風險並使其失效:「通訊必須要變成網狀網路(mesh),並非中央化的蜂巢式系統,這也是一個機會。」

對於主持人「誰是敵人?」的提問,Fitzek表示,一開始威脅網路安全的是(扮演駭客的)學生,現在則各種人都有,甚至政府機構也可能是元凶;但別忘了,技術本身也可能出錯:「空中巴士(Airbus)一次會用五台電腦在不同的平台上執行相同運算來糾錯;是時候該投資全球網路的安全,這有點像是警察的工作。」

意法半導體(STMicroelectronics,ST)執行長Carlo Bozotti的意見則是,安全性必須要著墨於所有的抽象層,包括晶片、電路板、裝置與整個網路。而G&D的Auerback強調,SIM卡產業一年製造50億張SIM卡,而且因為這些卡都是堅守標準,它們非常安全。

在被問到4G與5G之間有什麼不同時,Fitzek開玩笑說:「差一個G;」但很快補充表示,每一代的通訊技術都是為了解決人與人之間的溝通:「5G會有數十億個在延遲、性能與安全方面擁有不同KPI (key performance indicator,關鍵績效指標)的連結。」

他表示,網際網路之父Paul Baran在1964年就提出過一個安全性解決方案,有很多種成就安全性的途徑,但此刻並沒有被那些網路安全專家們實現,主要是因為他們沒有足夠的能力:「我們只要想辦法提升參與駭客活動所需成本。」

還有一個在這場CEO論壇被提出的話題是,安全性需要以全面性的端對端方式來解決,但是並沒有單一家公司或是幾家公司在這個問題上有足夠的份量能指定一個解決方案;NXP的Clemmer觀察指出,汽車領域的安全性還未完備,但因為汽車已經被駭客攻擊,迫使汽車廠商加緊腳步。

英飛凌(Infineon)執行長Reinhard Ploss觀察到,消費者並沒有或是還沒對IT安全具備敏感度──這引發了一個想法,某種標籤或是安全認證可能是一種提升安全保障意識的方法;但這應該是由產業界還是由各國政府來推動?

Clemmer不認為責任在任何一方,但認為品牌業者可以激發信心,因為品牌建立者提供具備安全性的產品能取得龐大利益。對此ST的Bozotti立場較為積極,他認為那應該是政府機構的責任,而產業界也要一起合作:「我們的責任是確保一種注重安全性的文化更為普及。」

德勒斯登工業大學的Fitzek同意Clemmer的看法,認為企業品牌是一種傳播安全防護重要性的管道。Clemmer還替NXP的新買主說了幾句話,表示機器學習將會扮演要角,而高通(Qualcomm)除了具備4G/5G數據機技術,也能為無數應用提供高階安全處理技術。

現場有聽眾提出,消費大眾可能會在不了解自己可能會被利用為進行DDOS攻擊的情況下就去買了連網家電,因此一種安全認證標籤會有需要,但不應該由政府來推動,因為速度會太慢。對此Clemmer表示,半導體廠商是在幕後運作,不會直接與終端消費者有連結;因此他認為,如果這類安全標籤是由半導體廠商來推動,成功的可能性會很低。

英飛凌的Ploss則認為,安全性不該是靜態的,因此如果連網家電會變成是個問題,應該有一種機制讓它們的安全防護能被升級,或是被強制離線。Fitzek也同意以上看法:「我們當然可以強調每台連網家電就是超級電腦,半導體廠商一定會喜歡這種說法,但實際上我們需要更聰明的網路,能自我監測,並排除具備安全風險的連網裝置。」

可惜的是,就算這場CEO論壇的參與者都同意,掌控端對端安全性是物聯網的成功關鍵,但那對於這個模糊的題目並沒有太多實際用處;或許可以說,這是一個正確的題目,只是沒在一個正確的場合上討論?

編譯:Judith Cheng

(參考原文:Electronica: CEO Forum Rambles on IoT Security, Safety,by Peter Clarke)