坐享智能生活之余　亦需严防IoT安全威胁

为驾驶人提供安全的驾驶辅助，向来是车联网发展目的之一；殊不知水能载舟、亦可覆舟，倘若车载系统遭黑客入侵，反倒可能导致驾驶人陷入致命危机。来源：Gartner

综合各家IT大厂、知名研究机构的预测，从现在开始迄至2020年，将会是第一波的物联网(IoT)爆发期，单就每一个人而论，身上至少拥有3？4个物件具联网能力，共计在全球造就500亿个联网装置，因而汇聚为庞大商机，也难免成为黑客觊觎的目标。

甫于年初落幕的世界经济论坛(WEF)，发布「2016年全球风险报告」，个中有一些话语相当发人深省，包括「网际网络已开启一片新的战争领域，与网络对接乃至相关的一切，皆可被突破」，及「物理距离已无法提供足够保护，大量技术存在两面性，许多重要的基础设施为私有资产，具有难于追踪的特性，使得我们甚难掌握攻击活动的来源」。

更重要的，WEF的全球风险报告，有一席话犹如当头棒喝，足以让人看了冷汗直流，意即「对于技术方案的认知匮乏，及因应相关风险的处理能力低落，特别在于网络风险、或关键性信息基础设施破坏所带来的系统性连锁效应，极可能为国家经济、各个经济组织甚或全球企业，带来深远影响」。

综上所述，根据WEF邀集全球数百位顶尖专家的认定，举凡大规模网络攻击、数据造假与偷窃等安全危机，恐将致令关键性信息基础设施与网络为之崩溃，因此网络安全威胁对于地球环境的杀伤力，堪与通货紧缩、气候变迁、粮食危机、传染性疾病扩散、大规模杀伤性武器、国家间冲突等其他危害项目等量齐观；而这也是WEF首度将网络攻击的严重程度，拉升至如此高的层级。

网络攻击风险  为国家与企业带来深远影响

或许有人认为，WEF似乎有些小题大作、危言耸听，然而一旦仔细斟酌其为何将网络攻击列为如此严重的风险，便不难看出个中蹊跷。其中最根本的症结点，乃在于人类对于网络的依赖性与时俱进，甚至已经「积重难返」，使得网络攻击可能带来的潜在风险，一天比一天还大，尤其伴随物联网带来人与机器之间更紧密的沟通联系，更大幅强化了网络攻击机率、以及对整个网络生态系统的潜在连锁效应；在此前提下，美国已将网络攻击风险视为头号威胁，另外包括德国、日本、瑞士乃至新加坡等多个国家，亦把网络攻击列为企业领导者最关注的顶级威胁，似乎并不为过。

进入物联网时代，不仅每个人身上的手机、手表、手环、眼镜、鞋子、衣服甚至皮包，都将逐一转化为联网物件，少则3？4个、多则7？8个，这还不打紧，每个家庭当中，尚有电脑、电视、冰箱、电锅、冷气、电表、瓦斯表、水表、智能插座等联网物件，光是这一些，看在黑客的眼里，已然称得上是值得怦然心动的题材了，更何况在户外还有车联网、智能工厂、智能零售、智能医疗、区块链(Blockchain)、智能城市、智能电网…等等极其丰富的「商机」。

因此尽管IoT因为具备更多的方便性、移动性与创新科技，从而教人兴奋不已，但它形同两面刃，也可谓孕育网络犯罪的顶级天堂，着实值得人们高度警惕。

事实上，物联网时代可能引爆的网安威胁，甚至会比过往PC时代还要来得巨大，主要是因为，深究绝大多数物联网装置的设计目的，通常都起源于特定功能，讲究轻巧便携与低能耗，与PC包山包海的特性大不相同，正因为如此，物联网装置体态相对狭小，并不具有太强大的运算能力与储存空间，所以意欲在设备本身融入安全机制，难度实在不小；举例来说，要让设备在接收或传输数据时，进行双向认验证，便有现实上的困难性。

IoT安全与实用之间  犹难建立最佳平衡

所以已经有不少网安专家，对于如何在物联网的安全与实用之间找到最佳平衡，感到不甚乐观，也因而忧心忡忡。其中最让网安专家深感忧虑的，便是车联网安全，只因为此事与多数民众的日常生活息息相关。

回顾近3年来，已经不只一次，出现知名车厂因为软件漏洞而发出召回令，例如某次是因为车上的触控屏幕存在着严重弱点，可能让黑客有机可乘，针对该车辆进行线上控制；事实上，某个以C字眼开头的知名系列跑车，其安全系统不仅止于出现漏洞，而是已经遭到黑客攻破，可轻易从线上操控其煞车系统，试想，由于煞车系统攸关人命，这是多麽让人惊惧的事实？

除此之外，个人数据与隐私的安全，也将因物联网时代的到来，因而面临前所未见的巨大考验。综观时下运动达人，举凡运动手环，计步器与移动运动设备，都已成为时尚必备品，尽管这些达人对于运动普遍在行，但隔行如隔山，对信息安全风险意识，普遍并不到位，便可能使得诸多风险油然而生。

全球闻名的第三方信息安全检测机构AV-Test，过去即特别测试了个人健身数据，如何从这些设备传递至智能手机与云端服务器，也同时测试手机健身追踪应用的安全性。

结果显示，使用者的运动数据皆会被记录，并透过随身智能手机上的APP进行分析，从而一目了然地反应该使用者的健身情况，细数个中潜藏的安全风险，则包括了数据传输过程的安全性，黑客不管是透过途中的拦截，或预先窜改手机应用程序，有许多途径，都能帮助他们如愿窃取这些健身数据。

当然，许多运动达人，并不认为自己的健身数据多麽值钱，值得黑客如此大费周章进行偷窃；但他们可能忽略掉，窃取这些健身数据，对于身怀一定技术能力的黑客来说，根本犹如小菜一碟，完全谈不上大费周章，况且这些信息也绝不像他们自认的如此无价，比方说，此信息对于保险公司便深具价值，可用以进行产品设计与广告推销，更可怕的是，这些信息足以反映使用者的运动习惯，假使被犯罪分子取得，即可据此推测使用者铁定不在家的时间，接着登堂入室搜括财物。

欲消弭物联网威胁  有赖供应商纳入安全设计

更有甚者，为广大使用者提供服务的企业，其责任不仅在于全力保护自身数码资产，在此同时，亦需连带保护他们的客户与员工之数据安全，不容许任何个资或隐私，是因为企业一时的粗心大意而流失，只要不慎发生此事，对于商誉与形象冲击之大，甚至会大到足以动摇经营根基；然而随着物联网装置大量应运而生，将逼使企业必须与黑客进行攻防的点，骤然增加数倍、数十倍之多，顾此失彼的机率提高不少，所以对于众多有责任保护员工或客户个资的企业而言，物联网肯定如同一场挥之不去的恶梦。

值得留意的是，物联网装置遭到黑客入侵得逞的机率，也比PC大上许多，因为这些装置不仅采用大量开源函式库，也引用了还未臻成熟之境的UPnP等通讯协定，更重大的问题在于设计者普遍未纳入安全考量，所以当这些产品遭到破坏时，也不会触发任何回应机制。

那麽如何提高物联网安全？专家呼吁，物联网装置供应商必须将安全列为产品设计的要素，相对来说，消费者亦需提升安全意识，在选购产品时特别留意其安全强度，进而反向给予供应商压力，驱使他们自知上紧发条、不容懈怠，藉以形成正向循环，带动物联网安全的大幅起飞。

另外，政府机关也有责任协助设立物联网安全测试平台，甚至不排除建立专责机构，针对各个不同垂直产业的物联网应用，订定不同的安全防护标准，接着依据这些标准，树立严谨的安全测试规范，久而久之，必定可有效提高黑客入侵的门槛。