坐享智能生活之余 亦需嚴(yán)防物聯(lián)網(wǎng)安全威脅

 物聯(lián)網(wǎng)時(shí)代可能引爆的安全威脅，甚至?xí)冗^(guò)往PC時(shí)代還要來(lái)得巨大，主要是因?yàn)椋罹拷^大多數(shù)物聯(lián)網(wǎng)裝置的設(shè)計(jì)目的，通常都起源于特定功能，講究輕巧便攜與低能耗，與PC包山包海的特性大不相同，正因?yàn)槿绱?，物?lián)網(wǎng)裝置體態(tài)相對(duì)狹小，并不具有太強(qiáng)大的運(yùn)算能力與儲(chǔ)存空間。

為駕駛?cè)颂峁┌踩鸟{駛輔助，向來(lái)是車(chē)聯(lián)網(wǎng)發(fā)展目的之一;殊不知水能載舟、亦可覆舟，倘若車(chē)載系統(tǒng)遭黑客入侵，反倒可能導(dǎo)致駕駛?cè)讼萑胫旅C(jī)。

綜合各家IT大廠、知名研究機(jī)構(gòu)的預(yù)測(cè)，從現(xiàn)在開(kāi)始迄至2020年，將會(huì)是第一波的物聯(lián)網(wǎng)(IoT)爆發(fā)期，單就每一個(gè)人而論，身上至少擁有3～4個(gè)物件具連網(wǎng)能力，共計(jì)在全球造就500億個(gè)連網(wǎng)裝置，因而匯聚為龐大商機(jī)，也難免成為黑客覬覦的目標(biāo)。

去年世界經(jīng)濟(jì)論壇(WEF)，發(fā)布“2016年全球風(fēng)險(xiǎn)報(bào)告”，個(gè)中有一些話(huà)語(yǔ)相當(dāng)發(fā)人深省，包括“互聯(lián)網(wǎng)已開(kāi)啟一片新的戰(zhàn)爭(zhēng)領(lǐng)域，與網(wǎng)絡(luò)對(duì)接乃至相關(guān)的一切，皆可被突破”，及“物理距離已無(wú)法提供足夠保護(hù)，大量技術(shù)存在兩面性，許多重要的基礎(chǔ)設(shè)施為私有資產(chǎn)，具有難于追蹤的特性，使得我們甚難掌握攻擊活動(dòng)的來(lái)源”。

更重要的，WEF的全球風(fēng)險(xiǎn)報(bào)告，有一席話(huà)猶如當(dāng)頭棒喝，足以讓人看了冷汗直流，意即“對(duì)于技術(shù)方案的認(rèn)知匱乏，及應(yīng)對(duì)相關(guān)風(fēng)險(xiǎn)的處理能力低落，特別在于網(wǎng)絡(luò)風(fēng)險(xiǎn)、或關(guān)鍵性信息基礎(chǔ)設(shè)施破壞所帶來(lái)的系統(tǒng)性連鎖效應(yīng)，極可能為國(guó)家經(jīng)濟(jì)、各個(gè)經(jīng)濟(jì)組織甚或全球企業(yè)，帶來(lái)深遠(yuǎn)影響”。

綜上所述，根據(jù)WEF邀集全球數(shù)百位頂尖專(zhuān)家的認(rèn)定，例如大規(guī)模網(wǎng)絡(luò)攻擊、數(shù)據(jù)造假與偷竊等安全危機(jī)，恐將致令關(guān)鍵性信息基礎(chǔ)設(shè)施與網(wǎng)絡(luò)為之崩潰，因此網(wǎng)絡(luò)安全威脅對(duì)于地球環(huán)境的殺傷力，堪與通貨緊縮、氣候變遷、糧食危機(jī)、傳染性疾病擴(kuò)散、大規(guī)模殺傷性武器、國(guó)家間沖突等其他危害項(xiàng)目等量齊觀;而這也是WEF首度將網(wǎng)絡(luò)攻擊的嚴(yán)重程度，拉升至如此高的層級(jí)。

網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn) 為國(guó)家與企業(yè)帶來(lái)深遠(yuǎn)影響

或許有人認(rèn)為，WEF似乎有些小題大作、危言聳聽(tīng)，然而一旦仔細(xì)斟酌其為何將網(wǎng)絡(luò)攻擊列為如此嚴(yán)重的風(fēng)險(xiǎn)，便不難看出個(gè)中蹊蹺。其中最根本的癥結(jié)點(diǎn)，乃在于人類(lèi)對(duì)于網(wǎng)絡(luò)的依賴(lài)性與時(shí)俱進(jìn)，甚至已經(jīng)“積重難返”，使得網(wǎng)絡(luò)攻擊可能帶來(lái)的潛在風(fēng)險(xiǎn)，一天比一天還大，尤其伴隨物聯(lián)網(wǎng)帶來(lái)人與機(jī)器之間更緊密的溝通聯(lián)系，更大幅強(qiáng)化了網(wǎng)絡(luò)攻擊機(jī)率、以及對(duì)整個(gè)網(wǎng)絡(luò)生態(tài)系統(tǒng)的潛在連鎖效應(yīng);在此前提下，美國(guó)已將網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)視為頭號(hào)威脅，另外包括德國(guó)、日本、瑞士乃至新加坡等多個(gè)國(guó)家，亦把網(wǎng)絡(luò)攻擊列為企業(yè)領(lǐng)導(dǎo)者最關(guān)注的頂級(jí)威脅，似乎并不為過(guò)。

進(jìn)入物聯(lián)網(wǎng)時(shí)代，不僅每個(gè)人身上的手機(jī)、手表、手環(huán)、眼鏡、鞋子、衣服甚至皮包，都將逐一轉(zhuǎn)化為連網(wǎng)對(duì)象，少則3～4個(gè)、多則7～8個(gè)，這還不打緊，每個(gè)家庭當(dāng)中，尚有計(jì)算機(jī)、電視、冰箱、電飯鍋、空調(diào)、電表、燃?xì)獗怼⑺?、智能插座等連網(wǎng)對(duì)象，光是這一些，看在黑客的眼里，已然稱(chēng)得上是值得怦然心動(dòng)的題材了，更何況在戶(hù)外還有車(chē)聯(lián)網(wǎng)、智能工廠、智能零售、智能醫(yī)療、區(qū)塊鏈(Blockchain)、智慧城市、智能電網(wǎng)…等等極其豐富的“商機(jī)”。

因此盡管物聯(lián)網(wǎng)因?yàn)榫邆涓嗟姆奖阈?、移?dòng)性與創(chuàng)新科技，從而教人興奮不已，但它形同兩面刃，也可謂孕育網(wǎng)絡(luò)犯罪的頂級(jí)天堂，著實(shí)值得人們高度警惕。

事實(shí)上，物聯(lián)網(wǎng)時(shí)代可能引爆的安全威脅，甚至?xí)冗^(guò)往PC時(shí)代還要來(lái)得巨大，主要是因?yàn)椋罹拷^大多數(shù)物聯(lián)網(wǎng)裝置的設(shè)計(jì)目的，通常都起源于特定功能，講究輕巧便攜與低能耗，與PC包山包海的特性大不相同，正因?yàn)槿绱?，物?lián)網(wǎng)裝置體態(tài)相對(duì)狹小，并不具有太強(qiáng)大的運(yùn)算能力與儲(chǔ)存空間，所以意欲在設(shè)備本身融入安全機(jī)制，難度實(shí)在不小;舉例來(lái)說(shuō)，要讓設(shè)備在接收或傳輸數(shù)據(jù)時(shí)，進(jìn)行雙向認(rèn)驗(yàn)證，便有現(xiàn)實(shí)上的困難性。

物聯(lián)網(wǎng)安全與實(shí)用之間 猶難建立最佳平衡

所以已經(jīng)有不少安全專(zhuān)家，對(duì)于如何在物聯(lián)網(wǎng)的安全與實(shí)用之間找到最佳平衡，感到不甚樂(lè)觀，也因而憂(yōu)心忡忡。其中最讓安全專(zhuān)家深感憂(yōu)慮的，便是車(chē)聯(lián)網(wǎng)安全，只因?yàn)榇耸屡c多數(shù)民眾的日常生活息息相關(guān)。

回顧近3年來(lái)，已經(jīng)不只一次，出現(xiàn)知名車(chē)廠因?yàn)檐浖┒炊l(fā)出召回令，例如某次是因?yàn)檐?chē)上的觸控屏幕存在著嚴(yán)重弱點(diǎn)，可能讓黑客有機(jī)可乘，針對(duì)該車(chē)輛進(jìn)行遠(yuǎn)程控制;事實(shí)上，某個(gè)以C字眼開(kāi)頭的知名系列跑車(chē)，其安全系統(tǒng)不僅止于出現(xiàn)漏洞，而是已經(jīng)遭到黑客攻破，可輕易從遠(yuǎn)程操控其煞車(chē)系統(tǒng)，試想，由于煞車(chē)系統(tǒng)攸關(guān)人命，這是多么讓人驚懼的事實(shí)?

除此之外，個(gè)人資料與隱私的安全，也將因物聯(lián)網(wǎng)時(shí)代的到來(lái)，因而面臨前所未見(jiàn)的巨大考驗(yàn)。綜觀時(shí)下運(yùn)動(dòng)達(dá)人，例如運(yùn)動(dòng)手環(huán)，計(jì)步器與移動(dòng)運(yùn)動(dòng)設(shè)備，都已成為時(shí)尚必備品，盡管這些達(dá)人對(duì)于運(yùn)動(dòng)普遍在行，但隔行如隔山，對(duì)信息安全風(fēng)險(xiǎn)意識(shí)，普遍并不到位，便可能使得諸多風(fēng)險(xiǎn)油然而生。

全球聞名的第三方信息安全檢測(cè)機(jī)構(gòu)AV-Test，過(guò)去即特別測(cè)試了個(gè)人健身數(shù)據(jù)，如何從這些設(shè)備傳遞至智能手機(jī)與云端服務(wù)器，也同時(shí)測(cè)試手機(jī)健身追蹤應(yīng)用的安全性。

結(jié)果顯示，用戶(hù)的運(yùn)動(dòng)數(shù)據(jù)皆會(huì)被記錄，并透過(guò)隨身智能手機(jī)上的APP進(jìn)行分析，從而一目了然地反應(yīng)該使用者的健身情況，細(xì)數(shù)個(gè)中潛藏的安全風(fēng)險(xiǎn)，則包括了數(shù)據(jù)傳輸過(guò)程的安全性，黑客不管是透過(guò)途中的攔截，或預(yù)先竄改手機(jī)應(yīng)用程序，有許多途徑，都能幫助他們?nèi)缭父`取這些健身數(shù)據(jù)。

當(dāng)然，許多運(yùn)動(dòng)達(dá)人，并不認(rèn)為自己的健身數(shù)據(jù)多么值錢(qián)，值得黑客如此大費(fèi)周章進(jìn)行偷竊;但他們可能忽略掉，竊取這些健身數(shù)據(jù)，對(duì)于身懷一定技術(shù)能力的黑客來(lái)說(shuō)，根本猶如小菜一碟，完全談不上大費(fèi)周章，況且這些信息也絕不像他們自認(rèn)的如此無(wú)價(jià)，比方說(shuō)，此訊息對(duì)于保險(xiǎn)公司便深具價(jià)值，可用以進(jìn)行產(chǎn)品設(shè)計(jì)與廣告推銷(xiāo)，更可怕的是，這些信息足以反映用戶(hù)的運(yùn)動(dòng)習(xí)慣，假使被犯罪分子取得，即可據(jù)此推測(cè)使用者鐵定不在家的時(shí)間，接著登堂入室搜括財(cái)物。

欲消除物聯(lián)網(wǎng)威脅 有賴(lài)供貨商納入安全設(shè)計(jì)

更有甚者，為廣大使用者提供服務(wù)的企業(yè)，其責(zé)任不僅在于全力保護(hù)自身數(shù)字資產(chǎn)，在此同時(shí)，亦需連帶保護(hù)他們的客戶(hù)與員工之?dāng)?shù)據(jù)安全，不容許任何個(gè)人資料或隱私，是因?yàn)槠髽I(yè)一時(shí)的粗心大意而流失，只要不慎發(fā)生此事，對(duì)于商譽(yù)與形象沖擊之大，甚至?xí)蟮阶阋詣?dòng)搖經(jīng)營(yíng)根基;然而隨著物聯(lián)網(wǎng)裝置大量應(yīng)運(yùn)而生，將逼使企業(yè)必須與黑客進(jìn)行攻防的點(diǎn)，驟然增加數(shù)倍、數(shù)十倍之多，顧此失彼的機(jī)率提高不少，所以對(duì)于眾多有責(zé)任保護(hù)員工或客戶(hù)個(gè)人資料的企業(yè)而言，物聯(lián)網(wǎng)肯定如同一場(chǎng)揮之不去的惡夢(mèng)。

值得留意的是，物聯(lián)網(wǎng)裝置遭到黑客入侵得逞的機(jī)率，也比PC大上許多，因?yàn)檫@些裝置不僅采用大量開(kāi)源函式庫(kù)，也引用了還未臻成熟之境的UPnP等通訊協(xié)議，更重大的問(wèn)題在于設(shè)計(jì)者普遍未納入安全考慮，所以當(dāng)這些產(chǎn)品遭到破壞時(shí)，也不會(huì)觸發(fā)任何響應(yīng)機(jī)制。

那么如何提高物聯(lián)網(wǎng)安全?專(zhuān)家呼吁，物聯(lián)網(wǎng)裝置供貨商必須將安全列為產(chǎn)品設(shè)計(jì)的要素，相對(duì)來(lái)說(shuō)，消費(fèi)者亦需提升安全意識(shí)，在選購(gòu)產(chǎn)品時(shí)特別留意其安全強(qiáng)度，進(jìn)而反向給予供貨商壓力，驅(qū)使他們自知上緊發(fā)條、不容懈怠，借以形成正向循環(huán)，帶動(dòng)物聯(lián)網(wǎng)安全的大幅起飛。

另外，政府機(jī)關(guān)也有責(zé)任協(xié)助設(shè)立物聯(lián)網(wǎng)安全測(cè)試平臺(tái)，甚至不排除建立專(zhuān)責(zé)機(jī)構(gòu)，針對(duì)各個(gè)不同垂直產(chǎn)業(yè)的物聯(lián)網(wǎng)應(yīng)用，訂定不同的安全防護(hù)標(biāo)準(zhǔn)，接著依據(jù)這些標(biāo)準(zhǔn)，樹(shù)立嚴(yán)謹(jǐn)?shù)陌踩珳y(cè)試規(guī)范，久而久之，必定可有效提高黑客入侵的門(mén)坎。