近年來,資安人才在產業供需與政府政策推動之下,身價在市場上水漲船高,導致企業在資訊安全人力招募上遇到不小的困境。還好主管機關近年一方面加強教育訓練力道,試圖創造更多優質資安技術人力投入市場;另一方面,亦在2021年修法,明訂上市櫃公司於2022~2023年底前完成資安長與資安專責單位的設立,以強化資安在組織之位階,期待藉此吸引更多年輕新血投入。然而,資安長該負責那些任務?SGS的建議是三大領域:法規遵循、資訊安全、產品安全。
產品安全:資安的最後一張拼圖
資訊科技走入各式各樣的電子產品,是萬物聯網的時代不變的趨勢。就資訊電子產品架構來看,包含IC晶片、載板、PCB、韌體、作業系統以及相關的感測器,甚至包含後端的大數據分析雲端平台。然而,現今的90%以上的安全要求,全部落在傳統的資訊科技領域,在作業系統以及其上的應用軟體進行測試,在所謂的cyber-physical環境,顯然已不合時宜(圖1)。需知現在的高端駭客,已開始使用各式的硬體攻擊方式,可以更輕易的在不需了解其系統程式邏輯下對裝置進行攻擊。
圖1 Cyber Physical System (資料來源:Gartner)
在現實世界來說,以智慧型胰島素幫浦為例子,原本智慧型胰島素幫浦可以接收即時患者血糖值,進而自動調整胰島素注射量。若駭客在患者血糖值正常之時,持續重送先前血糖過高時的數值給胰島素幫浦,導致過量胰島素注射至患者,則很可能引發生命安全的問題。
又或是在智慧車輛上,雷(光)達感測前車距離僅剩1公尺不到,然而駭客重送先前車距尚有100公尺的訊號給自動駕駛電腦,導致自動駕駛系統做出加速的錯誤判斷,這就很可能造成生命危害甚至公共危險的事件。
產品網路安全法規持續上路
所幸,各國主管機關早先已關注到這樣的議題,例如歐盟在2019年通過資安法案(EU Cybersecurity Act)後,2022年亦修訂網路暨系統安全指令(NIS 2 Directive),擴大其適用範圍,除了原本的關鍵基礎設施外,電子通訊服務供應商、數位服務業者、廢棄物管理業者、重要產品的製造商、郵政服務,以及公共行政單位,均納入其規範範圍。
台灣身為全球資訊產品供應鏈重鎮,除關注國際資安法規的發展,更應注重各國在產品安全方面的要求。以現況來說,除了美國加州IoT裝置資安法案、新加坡CLS(Cybersecurity Labelling Scheme)外,現今最受矚目的產品安全要求就是歐盟無線設備指令RED的資安要求,未來所有具備Wi-Fi、藍牙、NFC等功能的產品,均須符合其資訊安全要求。
產品網路安全要求已不容等待
在全球貿易戰以及資料主權等議題的驅使之下,歐盟的無線設備指令(RED)已開了第一槍,要求所有無線射頻產品未來均須符合資訊安全要求方得取得上市核可,台灣身為全球資訊產品供應鏈要角,必須及早正視這個問題,須知Security by Design的概念,安全必須從設計端做起,方能有效消弭資安疑慮,萬萬不可等到上市審查時方來臨時抱佛腳,延誤了產品上市的時機。
SGS數位信任安全實驗室負責人暨全球資安發展經理Kelvin Yen表示,SGS很早就注意到資訊安全是未來重點趨勢,近年完成多項佈局與準備,在台灣已協助多家重點企業進行醫療、物聯網、車用與工控相關的資安服務,未來希望能透過一貫高品質、有效率的在地化服務,協助台灣供應鏈取得國際安全標準驗證,降低高科技製造業進軍國際市場的非關稅貿易障礙。
【物聯網生態系年度盛事】立即免費報名12/6物聯網安全高峰論壇,掌握工控、汽車、5G AIoT資安防護新趨勢!