IoT产品从制程到元件都需合规 从设计源头就融入安全
当今黑客攻击的目标已从企业IT系统扩及到OT工控系统、智能家电、医疗器材、联网汽车、充电桩等各种联网产品,黑客破解系统窃取用户隐私数据等新闻频传,使得各国及各产业纷纷开始制定产业网安规范,包括物联网安全测试(EN 303645)、无线电设备网络安全要求(EN 18031)、工控系统网通安全(IEC 62443)等,不同产品须取得不同认证规范,即使同一产品进入各国市场还需个别符合当地市场法规。专注于电机电子与无线通讯产品各项测试验证服务的必维(Bureau Veritas)集团旗下立德国际,日前举办「全球物联网网安高峰会」研讨会,IoT产品制造商踊跃参与以掌握各国法规最新趋势,并了解如何取得认证布局全球。
必维集团立德商品试验有限公司 (Bureau Veritas) 表示,过去大家较关注信息安全管理系统(ISO 27001),往往忽略产品网安的重要性,但从各国法规趋势可看到未来从产品、制程到元件的安全相关规范将愈来愈多。不管是从消费性物联网产品、基础建设OT系统、医材、铁道、半导体、海事、政府机关网安指南到充电桩、储能系统等领域的网安规范,Bureau Veritas都能提供完整的服务,尤其是在消费性物联网产品的部分,BV可从EN 303645、EN 18031-1,-2,-3,及涵盖日本、新加坡、澳大利亚、印度、巴西、欧盟无线电设备指令(RED)及网安韧性法(CRA)、英国产品安全及电信基础设施法规(PTSI)及美国NIST消费性IoT产品网络安全标签等提供完整的网安合规服务。
而上述这些法规有些是强制性的,如欧盟RED、CRA及英国PTSI,若制造商违反CRA最严重将可罚至1,500万欧元,而RED将在2025年8月执行,CRA则在2024年10月就将生效,生效后制造商必须在产品生命周期中执行基本的安全措施,在2025年7月前就开始准备工作,才能赶得上时程;另一些则是自愿性的,如美国针对智能装置的网络信任标章计划、德国自愿性韧性标章等。
立德国际(Bureau Veritas)的事业发展部网安专业顾问团队也强调将安全融入产品设计阶段的重要性,许多企业的产品往往在送审后才被发现欠缺安全的概念。包括使用通用性、简单好猜的缺省口令,或没有关闭不提供给客户使用的功能的相关权限等,都是企业送审时常见的缺失。邱郁清强调,在产品网安方面,做好漏洞管理和渗透测试这两件事将非常重要。
而在2024年8月中刚发布欧盟RED调和标准,是指要贩售到欧盟市场的无线蓝牙产品都须符合RED指令,尤其条文3.3 d/e/f是关于网络安全、个资隐私、金流防诈等内容,分别对应到EN 18031-1,-2,-3,预计2025年8月1日强制执行。企业必须特别注意,并非已通过EN 303645测试就代表符合RED网络安全要求。
在此次研讨会中,印度Vincular测试实验室专家也受邀来台分享印度网络网安法规,也是业界首场!包括网通安全认证计划(ComSec Scheme),此计划主要是对电信设备执行强制性的测试与认证,此外也有自愿性安全认证(VSC),主要鼓励CPE多功能路由器、IP路由器等OEM厂商来参加。对无线CPE及IP路由器,未/已通过TEC ER技术认证的型号,分别自2024年7月1日/10月1日起需强制认证,而光纤网络终端ONT设备未/已通过TEC ER认证的型号则是自2025年2月4月起需强制认证。