你的连网产品安全吗?跨足物联网不可忽视的隐私安全红线

 

你的连网产品安全吗?跨足物联网不可忽视的隐私安全红线

早在 2012 年,欧盟就发布了《欧盟数据保护法规》草案,简称 GDPR。 2016 年 4 月 GDPR 定案,并将于 2018 年 5 月开始实施。违反法规的处罚金额最高可达涉案企业全球总营业额的 4%,或 2000 万欧元,二者取最高值。对于想进军全球物联网市场的在地设备商,如此程度的重罚,很可能导致厂家出现资金短缺甚至影响整体营运,不可不慎。

2016 年连网装置遭骇, DDoS 大规模瘫痪网路

物联网产品接上网路以后,能为使用者的生活提供便利的服务,但一个不小心也可能会让生活中的个人隐私暴露于资安威胁下,因此各国法规也有程度不一的保护规範。根据物联网 平台服务商 Ayla 全球首席法务长 Jessica Zhou 表示,物联网或大数据的法规以欧洲、美国、加拿大、韩国最为完备且严格执行。其次为日本、中国、澳大利亚、纽西兰、东欧、阿根廷等,接下来则是东南亚、巴西、印度、土耳其等,虽然制定了一些立法,但在执行方面并不成熟。第四类的有中东国家、墨西哥、南非、南美的智利、哥伦比亚、俄罗斯等,在这方面的法规上相对有限。剩下的国家和地区,在网路安全、资讯敏感度、数据隐私等方面,法规还没有成型。

各位读者可能有印象,在 2016 年 10 月美国就曾发生一起利用联网设备进行 DDoS 攻击 DNS 的案例,骇客利用 Mirai 病毒,尝试用常见的预设帐号密码登入连网装置,一旦成功就能操控这些装置进行流量攻击。由于数量庞大,一度造成美国半数使用者无法上网。

当然,除了许多消费者懒得或不知该如何修改预设帐号密码, 2016 年的攻击中有一大批装置是中国雄迈科技 2015 年 5 月前生产的网路摄影机,因为把预设使用者登入资讯写死在韧体上,让一般使用者根本无从改起。

製造商该如何说服使用者更改密码?

製造商该如何引导使用者设定帐号密码, Ayla 就建议可以透过使用介面设计,让使用者能轻鬆更改所有装置的密码,千万别把改密码的功能藏得又深又複杂。或者更近一步可以在第一次设定就半强制用户修改密码,并且为密码设定基础的安全规则,再定期提醒使用者更换密码。

更进阶的重点还包括:

当然,对传统硬体製造商来说,除了设计密码机制以外可能对以上几点都不太懂,这部分就可以透过像 Ayla 这样的服务平台来协助。另外在云端资料储存的部分,由于像欧盟、美国等地为保护使用者个人资料,都规範伺服器必须设于境内,最快的方法则是慎选合法规的大型国际云端服务。再以 Ayla 为例,除了基本的 ISO 27001、SOC 2 等各项标準,由于原本就是源自欧美,云端建置自然也都符合对 IoT 产业规範最严格的欧盟法规,熟知并协助客户遵守各地法律规範。

隐私规範愈来愈严格也愈来愈完备

在前述 DDoS 攻击事件中,中国 2016 年 11 月制定了中华人民共和国《网路安全法》,于 2017年 6月 1日起实施。这是中国第一个全面规範网路空间安全管理方面问题的基础性法律,对中国公民的个人讯息和敏感资讯的收集、处理和传输进行了限制性规定。另外,在网路安全的监测、预警以及应急处理等方面都做了详细的规定,也加强了违法惩处的力道。

对从硬体跨入物联网的业者来说,必须体认到的一点便是「数据」有价,搜集大数据来作为分析和应用的材料,价值远远高过于硬体本身的销售。除了必须掌握去名化、妥善设计加密机制,随着隐私重视程度崛起各国的法规也愈来愈严格,尤其台湾不少物联装置出口到欧美,以及未来成长可期的中国、东南亚等市场,都必须注意是否符合当地法规。

数据的收集方和使用处理者的职责方面, Jessica 解释 ,Ayla 的客户是前端的数据收集方, Ayla 则是数据的处理者。当发生物联网数据安全与隐私洩露问题时,一般来讲,主要的责任会是在数据收集的那方,但数据的处理者也需承担一定範围内的责任。对发展出口业务的企业来说,如果一旦在欧盟等数据安全保护方面比较严格的国家和地区触犯了当地的法律法规,有可能造成巨额罚款和被当地监管部门暂停业务等严重后果,所以像 Ayla 这样的服务提供商会提前给客户和合作伙伴做出一些提醒和帮助。

你的连网产品安全吗?跨足物联网不可忽视的隐私安全红线

本篇资料来源主要为 Ayla 的部落格 公开内容,更多关于物联网安全与隐私防护,以及物联数据应用方法,建议各位读者可以下载 Ayla 官网的 《全面探索物联网数据与隐私安全》白皮书 来参考。

上一篇: 下一篇: