萬物聯網將帶來許多創新服務,改變人類的日常生活,但卻也替神通廣大的駭客創造入侵管道。有鑑於網路攻擊更加複雜也更難防範,美國政府與UL合作制定全球網路安全服務與標準測試UL 2900系列,並於近期推出UL 2900-1、UL 2900-2-1、UL 2900-2-2三項新驗證標準。除此之外,UL也持續擴大標準範圍,涵蓋各面向,可望補足物聯網所帶來的安全漏洞。
美國白宮2016年2月於國家資安行動計畫(Cybers curity National Action Plan, CNAP)中指出,美國國土安全部門與UL共同開發資安認證程序,以測試、認證物聯網中的聯網設備,此標準的價值在於,往後只要使用者買到聯網認證新產品時,便可明確地知道,該電子產品已符合安全標準。
目前物聯網面臨的十大風險包括不安全的網路介面、授權保護不足、不安全的網路服務、資料傳遞沒有加密、隱私沒有得到保護、不安全的雲端介面、不安全的手機介面、安全設定不夠安全、不安全的軟體/韌體、貧乏的實體安全防護。針對上述風險,目前市面上大多數的產品皆沒有提供相對安全防護,使用者等同於是暴露在不安全的環境下,讓駭客有機可乘。
對此,UL已於2016年逐步推出全球網路安全服務與標準測試UL 2900系列,三項標準為UL 2900-1、UL 2900-2-1、UL 2900-2-2,分別針對軟體網路安全、醫療設備以及工業控制系統,未來還會有其他標準陸續出爐。
不僅如此,UL標準的範圍亦同步擴大,從傳統的機電安全到性能/品質、行銷宣告檢測驗證、企業運作供應鏈透明度、可持續性等。UL認為,由於各環節彼此之間是相互關聯的,當有一個部分出問題,產品最後的核心就會出問題,因此產品安全必須面面俱到。
UL能源暨電力科技部業務發展經理陳立閔表示,UL網路安全保障計畫(CAP),可協助找出產品中的安全風險,並提供如何降低風險的建議,包括工控系統、醫療設備、汽車、暖通空調製冷設備(HVAC)、照明產品、智慧家庭、家電、警報系統、火警系統、建築自動化、智慧電表、網路設備與消費性電子產品等。
陳立閔進一步指出,UL 2900系列為聯網產品與系統,提供了網路安全的測試準則,其能評估軟體漏洞與弱點、降低被入侵的風險、處置已知的惡意軟體、檢視安全控制項目,並提升安全意識。
