你的连网产品安全吗? 跨足物联网不可忽视的隐私安全红线

阅读:108

inside 2017-09-04 00:00:00 ?? 网络趋势

Photo Credit: Blue Coat Photos on Flickr

早在 2012 年,欧盟就发布了《欧盟数据保护法规》草案,简称 GDPRGeneral Data Protection Regulation)。 2016 4 GDPR 定案,并将于 2018 5 月开始实施。违反法规的处罚金额最高可达涉案企业全球总营业额的 4%,或 2000 万欧元,二者取最高值。对于想进军全球物联网市场的在地设备商,如此程度的重罚,很可能导致厂家出现资金短缺甚至影响整体营运,不可不慎。

2016 年连网设备遭骇, DDoS 大规模瘫痪网络

物联网产品接上网络以后,能为用户的生活提供便利的服务,但一个不小心也可能会让生活中的个人隐私暴露于资安威胁下,因此各国法规也有程度不一的保护规范。根据物联网 平台服务商 Ayla 全球首席法务长 Jessica Zhou 表示,物联网或大数据的法规以欧洲、美国、加拿大、韩国最为完备且严格运行。其次为日本、中国、澳大利亚、新西兰、东欧、阿根廷等,接下来则是东南亚、巴西、印度、土耳其等,虽然制定了一些立法,但在运行方面并不成熟。第四类的有中东国家、墨西哥、南非、南美的智利、哥伦比亚、俄罗斯等,在这方面的法规上相对有限。剩下的国家和地区,在网络安全、信息敏感度、数据隐私等方面,法规还没有成型。

各位读者可能有印象,在 2016 10 月美国就曾发生一起利用联网设备进行 DDoS 攻击 DNS 的案例,骇客利用 Mirai 病毒,尝试用常见的缺省帐号密码(如 admin)登录连网设备,一旦成功就能操控这些设备进行流量攻击。由于数量庞大,一度造成美国半数用户无法上网。

当然,除了许多消费者懒得或不知该如何修改缺省帐号密码, 2016 年的攻击中有一大批设备是中国雄迈科技 2015 5 月前生产的网络摄影机,因为把缺省用户登录信息写死在固件上,让一般用户根本无从改起。

制造商该如何说服用户更改密码?

制造商该如何引导用户设置帐号密码, Ayla 就建议可以透过使用接口设计,让用户能轻松更改所有设备的密码,千万别把改密码的功能藏得又深又复杂。或者更近一步可以在第一次设置就半强制用户修改密码,并且为密码设置基础的安全规则,再定期提醒用户更换密码。

更高端的重点还包括:

  • 让物联网设备的硬件和软件的密码保持不同。
  • 每个设备都设置不同的密钥,必须透过密钥才能和云端沟通。这样万一一台设备被攻破,也不会扩及其他链接设备。
  • 访问连网产品登录设限,用户必须受过云端授权自己使用设备。
  • 采用最新的安全标准,比如用 WPA2 取代 WEP
  • 时时透过 OTA (Over the air) 远程更新,确保安全机制在最新版本。

当然,对传统硬件制造商来说,除了设计密码机制以外可能对以上几点都不太懂,这部分就可以透过像 Ayla 这样的服务平台来协助。另外在云端数据保存的部分,由于像欧盟、美国等地为保护用户个人数据,都规范服务器必须设于境内,最快的方法则是慎选合法规的大型国际云端服务。再以 Ayla 为例,除了基本的 ISO 27001SOC 2 等各项标准,由于原本就是源自欧美,云端建置自然也都符合对 IoT 产业规范最严格的欧盟法规,熟知并协助客户遵守各地法律规范。

隐私规范愈来愈严格也愈来愈完备

在前述 DDoS 攻击事件中,中国 2016 11 月制定了中华人民共和国《网络安全法》,于 2017 6 1日起实施。这是中国第一个全面规范网络空间安全管理方面问题的基础性法律,对中国公民的个人消息和敏感信息的收集、处理和传输进行了限制性规定。另外,在网络安全的监测、预警以及应急处理等方面都做了详细的规定,也加强了违法惩处的力道。

对从硬件跨入物联网的业者来说,必须体认到的一点便是「数据」有价,搜集大数据来作为分析和应用的材料,价值远远高过于硬件本身的销售。除了必须掌握去名化、妥善设计加密机制,随着隐私重视程度崛起各国的法规也愈来愈严格,尤其台湾不少物联设备出口到欧美,以及未来成长可期的中国、东南亚等市场,都必须注意是否符合当地法规。

数据的收集方和使用处理者的职责方面, Jessica 解释 Ayla 的客户是前端的数据收集方, Ayla 则是数据的处理者。当发生物联网数据安全与隐私泄露问题时,一般来讲,主要的责任会是在数据收集的那方,但数据的处理者也需承担一定范围内的责任。对发展出口业务的企业来说,如果一旦在欧盟等数据安全保护方面比较严格的国家和地区触犯了当地的法律法规,有可能造成巨额罚款和被当地监管部门暂停业务等严重后果,所以像 Ayla 这样的服务提供商会提前给客户和合作伙伴做出一些提醒和帮助。

本篇数据源主要为 Ayla 的博客 公开内容,更多关于物联网安全与隐私防护,以及物联数据应用方法,建议各位读者可以下载 Ayla 官网的 《全面探索物联网数据与隐私安全》白皮书 来参考。