物聯網安全法規實施在即 UL推出全球第一個IoT安全標章

隨著智慧能力深入到每種行業之中，例如智慧製造、智慧零售或智慧醫療等，甚至包括智慧家電，再進一步結合雲端平台與機器學習分析技術，建構出不同場域的物聯網。

不論是哪一種物聯網，最基本的元件當屬感測器，也是所有物聯網的基礎。然而，若身為終端裝置的感測器藏有任何資安漏洞，對IT人員來說將更為棘手，也更難以察覺。

為何企業該開始注意IoT安全

對企業來說，另一項挑戰則是採購人員無從判斷所採購的IoT裝置是否有足夠的安全性，就難以釐清將來企業若發生資安事件的責任歸屬。換言之，企業的不同部門對於IoT裝置的資安要求與定義均各不相同，將導致跨部門的資安溝通常出現各說各話的情況。

再加上各國政府也陸續針對IoT資安問題立法與訂定強制規範，如歐盟已推行的《歐盟GDPR和歐盟網路安全法案》、2020年即將實施的《加州及奧勒岡州IoT裝置安全法案》、美國國會提出的《美國IoT網路安全改善法》草案及中國提出的《中國物聯網安全國家標準》。

因此，UL推出全球第一個融合產業標準的IoT安全評等 (IoT Security Rating)，提供連網產品的資訊安全評估標準，協助製造商通過IoT設備最基本的資安要求，例如不可有預設密碼、首次啟用強制變更密碼等，減少使用者可能暴露的資安風險。

但IoT裝置製造商也並非是追求100%的裝置安全，從IT的資安歷史來看，資安防禦追求的是相對安全。UL身分識別管理安全部業務發展經理薛正表示若有第三方認證單位能提供一個公信、快速、易於採用、完整考量所有系統功能、亦接手後續持續評估，並輔以低成本、易於消費者識別產品資安能力的標誌，製造商是有採納意願的。

IoT安全評等 定義產品的資安防護力

UL根據前20大IoT資安設計準則，融合產業標準共識，訂定出IoT安全評等，考量七大類別，包括：安全軟體更新、資料加密、安全通訊、隱私需求、系統管理、邏輯安全、文件流程需求，以40多項測試項目進行嚴謹的評估，可從產品設計環節就導入安全防護規範，用五個安全等級：鑽石、白金、金、銀、銅，區分產品的資安防護能力。製造商只需透過1-3週的一次性產品評估，並後續每半年一次的監測，就能成本時間兼顧，降低資安漏洞風險。

薛正表示，黃金標章可說是標準版本，銀章與銅章屬於入門等級，鑽石章與白金章則屬於進階版本，「並不是安全等級愈高愈好，而是要符合IoT裝置的特性與需求。低等級的安全標章不代表安全有漏洞，而是在於製造商所執行的資安防護工作數量。不同等級的標準，其維護年費也有所不同，我們會和製造商一同討論來訂定適當的安全標章。」

薛正也表示目前正在與台灣政府單位洽談IoT安全評等標誌的適用方式與標準，預計2020年初會出現取得UL IoT安全評等標誌的物聯網產品。