遍及消費性/航運/醫療/車輛　物聯網設備面臨資安衝擊

網路犯罪對人們個人安全、社會穩定和環境風險的潛在影響將越來越令人擔憂。

2019年1月，包括德國總理梅克爾(Angela Merkel)在內的數百名德國政界人士和公眾人物的私人資訊和通訊內容被公布在網路上，這是德國有史以來最大的資料洩露事件之一。隨後不久，飛機製造商空中巴士集團宣布其商用飛機製造業務遭受網路攻擊，導致該集團眾多歐洲員工的聯繫資訊和IT身份資訊遭到洩露。同年3月，臉書(Facebook)承認其管理系統存在一個漏洞，導致數億使用者密碼以純文字形式儲存在任何員工都可進入的內部系統中；同月，裝有心臟復律除顫器的數百名美國患者得知，植入到其體內的設備存在兩個嚴重漏洞。

去年度的一個重要主題是物聯網(IoT)應用的爆炸式成長導致攻擊面不斷擴大。2019年7月，據披露，特定版本的即時作業系統(RTOS)VxWorks出現了TCP/IP協定棧(IPnet)有11個零日漏洞，這導致數百萬台工業物聯網設備很容易遭受遠端代碼執行(RCE)的網路攻擊。隨後發現，這些TCP/IP協定封包被用於另外六個即時作業系統，進一步擴大了數百萬台設備的受攻擊面。由於補丁管理過程的超長的長尾效應，幾乎可以肯定，一些公司在未來幾年仍將受到這些漏洞的困擾。

綜觀七項趨勢探討網路威脅與各領域交集

本文將探討網路犯罪與人們人身安全、對社會潛在影響及對環境風險之間日益廣泛的關係。隨著與人們數位生活連接的網路實體系統快速增加，同時也將面臨重大的網路威脅。

以下是針對市場發展狀況的趨勢分享。

・個人資料採擷不受監管可能將破壞數位社會穩定

舉例而言，於2017年，法國公民Judith Duportail要求一家約會App公司將其保存的所有個人資訊發送給她。隨後她收到了一份800頁的檔案，其中包括她在Facebook上的「讚」和「朋友」、她所感興趣男性的年齡排名，以及自2013年以來她與所有870名約會對象進行的每一次線上交談。她僅從一款App上便收到了過去幾年的大量個人資訊，這突顯保護隱私所面臨的挑戰日益擴大，同時也顯示如何透過保護和處理資訊來構建個人興趣和行為概況方面，缺乏透明度。

・被駭客視為「愚蠢」的智慧化供應鏈將成為駭客攻擊目標

無論是在個體公司內部還是其外包供應商，供應鏈越來越多地使用物聯網自動化、機器人和大數據管理來提高效率和降低成本。人們逐漸認識到哪怕是出現非常輕微的中斷，這種業務模式也會帶來較大的經濟風險；而智慧供應鏈雖是動態、高效的供應鏈，但也很脆弱。

・智慧消費設備成長速度遠超其安全性

智慧音箱、健身追蹤器、智慧手表、智慧恆溫器、智慧能量計、家居安防攝影機、智慧門鎖和智慧燈泡等，似乎無可阻擋地體現在萬物互聯的民主化進程中。每年隨著透過影響未來商業與社會形態的智慧設備進入人們的日常生活，它們的數量和功能均在不斷增加，不再僅是玩具或新奇的東西。可以預期的是，在利益、製造混亂或不確定性等欲望的驅動下，這將導致它們成為網路罪犯的目標。迄今為止，網際網路連接所帶來的網路安全挑戰一直在威脅著10億台伺服器和個人電腦。隨著智慧設備的到來，攻擊面可能將會迅速擴大到這個尺寸的百倍或千倍。

・對航運業的威脅已從理論變成現實

據估計，2017年全球海運貿易量約為107億噸。儘管地緣政治和貿易緊張局勢帶來挑戰，但預計這一數字仍將成長。同時，更高效的港口服務意味著船舶在港裝卸並離港的時間將更短。有充分證據表明，各國正在對導航系統遭受直接攻擊進行試驗，而有關船載網路遭到勒索軟體攻擊的事件正見諸報端。港口物流提供了第二個重疊的脆弱領域。

同時，網路激進主義可能開始影響海事部門。受其由議題所驅動，因此很難確定激進主義人士的威脅將在何時演變成重大風險。然而，備受關注的環境或地緣政治事件往往起到催化劑的作用，這導致監測和瞭解此類事件成為現代海上網路安全的關鍵部分。

・即時作業系統缺陷可能催生後補丁時代

到2025年，預計全球將有超過750億台線上物聯網設備，每台設備都有自己的軟體堆疊，其中很多設備使用外包、可能易受攻擊的元件。在2019年，Armis實驗室在溫瑞爾系統公司(Wind River)VxWorks即時作業系統(RTOS)發現了11個嚴重的漏洞(稱為「緊急/11」)；其中6個漏洞將大約2億個物聯網設備暴露在遠端代碼執行(RCE)攻擊的風險中。該層漏洞是一個重大挑戰，因為其往往深藏在多年甚至幾十年前的大量產品中，而企業甚至可能沒有意識到這些漏洞的存在。對於這種情況，假設仍在使用的陳舊、孤立元件中也存在這種漏洞，那麼安裝補丁進行防禦就不是那麼有效。

・隨身醫療設備的網際網路健康危機現正形成

在過去十年時間，個人醫療設備(如胰島素泵、心臟和血糖監測器、復律除顫器和心律調節器等)已經與網際網路連接，此趨勢被稱為醫療物聯網(IoMT)。同時，研究人員已發現這些產品存在越來越多的軟體漏洞和概念驗證攻擊，這些漏洞和概念驗證攻擊可能導致出現針對個人以及整個產品類別的攻擊。在某些情況下，這些設備及其生成的資料作為受保護健康資訊(PHI)也可能面臨風險。到目前為止，醫療產業一直致力於應對這個問題，包括在設備規定使用壽命結束之後。與這一代眾多物聯網設備一樣，聯網的吸引力已經超過對網路安全的需求，而複雜的設備維護和修補任務被發現存在不協調的情況。

・車輛和交通運輸基礎設施成為網路攻擊新目標

透過開發專用軟體與硬體平台，車輛和交通運輸基礎設施之間的聯繫正變得越來越緊密。這些應用可為駕駛員提供更大的彈性和更多的功能，且有可能改善交通安全；而有鑑於自動駕駛汽車的出現，這些應用似乎不可阻擋。不幸的是，安全性漏洞增多，攻擊者可能利用這些漏洞，進而直接影響安全。更令人擔憂的是，車輛和交通運輸基礎設施正成為關鍵的基礎設施，若針對此類基礎設施的大規模網路攻擊不僅會影響個人的安全，更會對城市環境中的交通運輸和安全造成破壞性的後果。

區域功能安全/資安/隱私系統高牆築起

有企業為滿足國際功能安全和資訊安全的要求，便導入國際先進技術及安全理念，如德國萊因(TÜV)可提供如功能安全、資訊安全、Automotive SPICE、TISAX、GDPR以及滲透測試等服務(圖1)。

資訊安全與功能安全這兩個概念常常會被提及，兩大主題有一定的重疊，但是他們的側重點各有不同。

・功能安全

為了防止系統內部因素引發的失效，確保自身安全，進而實現系統的安全運作。

・資訊安全

主要在於如何應對外界的攻擊，側重於系統抵抗外界某種形式的非故意或蓄意攻擊行為的能力。

隨著萬物互聯時代的到來，豐富的攻擊面，增加了很大的風險，單一標準也已經無法滿足新技術的發展，如德國萊因便為企業提供滿足功能安全與資訊安全等要求的技術服務，可透過諮詢專案協助企業實現管理目標，並攜手產業持續提升企業的資訊安全和隱私保護水準。此外，可協助企業參照產業中先進方法論，提供合理建議，借鏡產業中先行的作法及經驗，進而不斷提高企業自身的管理水準，以維持資訊安全和隱私保護體系健康運作這項長期、持續、系統化的工作。

若以可信資訊安全評估交換(TISAX)評估模式為基礎，業者如德國萊因便據此提供汽車產業資訊安全水準評估服務。TISAX是基於VDA ISA的公司內部檢測和交換機制，而VDA ISA是德國汽車工業協會(VDA)依據ISO 27001資訊安全管理系統(ISMS)為主要內容制定的資訊安全評估(ISA)標準(圖2)。TISAX評估只能由經過認可的協力廠商機構執行，而全球範圍內合格的機構數量較有限，因此經授權的TISAX評估機構可為汽車企業提供較全面的評估服務。

(本文出自於德國萊因《2020年網路安全趨勢》報告)