企业网安防护再进击 物联网设备网安应从验证做起

日前，美国加州议会通过全美第一个物联网(IoT)装置的信息隐私法案。法案中规定，IoT装置的制造商必须提供合理的安全功能，明确规范任何可自区域网络之外登入的联网装置缺省口令都必须是独特的，使用者首次设定该装置时，必须提醒使用者设定自己的口令之规定。

而对于美国议会通过这个当前全球第一个物联网装置的安全法案，网安厂商翔伟网安CEO杜世鹏表示，过去有很多物联网装置因为安全口令设置不够妥善，因此遭到黑客或有心人士利用，成为DDos攻击的跳板。因此，该项法案的制定，就是针对这些过去在网安防护上较不周密的物联网装置，包括IP Cam、Step-Top-Box等，以降低发生被侵入后当作殭屍网络的情形。

物联网设备网安应从验证着手

杜世鹏强调，有关物联网设备信息安全问题，「验证」绝对是不可或缺的一环。包括软件、韧体等项目在完成之后，请专业单位重新审视；亦或者在硬件上，在敏感核心部分，包括处理器或网络等，最后检视与原始零件表的对照，查看是否有不应该出现的零件在其中等等，才不致发生如近期新闻报导的类似SuperMicro事件发生的状况。

杜世鹏进一步指出，过去在网安威胁尚未如此泛滥的情况下，对于这方面的需求与认知，多半企业会因为成本的考量而忽视。不过，在目前网安问题威胁严重的情况下，企业不论是被规范，或者是自主意识到这样的需求，也应该开始执行这样的安全检视作业。只是，相较来说，因为欧美国家在法令订立较为完整的情况下，执行得较为普及，而亚太地区除了日本之外，就较为落后。

亚太地区在这方面执行较为落后的问题，除了法规的订立不完整之外，标准的制定也是个影响的关键。杜世鹏表示，在欧盟相关的信息产品规定，甚至包含电压、电流、材质是不是符合环保，或者是相关的操作规定等都有严格的标准。因此，厂商也有比较明确的标准可以去遵守，而这方面在亚洲就显得比较缺乏，所以相关问题的发生也就比较频繁。

因此，呼吁政府或企业必需要制定相关的法令、标准，甚至产品的研发要随着这样的脚步走，在降低网安风险的同时，或许消费者也必须认知，未来透过这样机制所提供出来的产品，价格也将会相对提高，而这或许也能提升企业愿意做这方面投资的诱因。