我們周遭的物聯網裝置愈來愈多，也為生活提供了更多便利；但你可能想過，這些有連網能力、感測技術的小東西，也都是一台台具體而微的小電腦？如果一般電腦系統都會被駭客、病毒入侵，這些功能更簡單、與生活又更切身相關的裝置，又該怎麼應付物聯網時代的資安威脅？

物聯網時代的願景是萬物皆可連，讓人們的生活可以更加方便；但對駭客來說，萬物皆可「連」代表的是萬物皆可「駭」；企業面對的資安威脅，也恐怕是只增不減。

在過去，資訊科技（IT）、通訊科技（CT）、操作科技（Operational Technology, OT）各自獨立，對於個別領域專業的操作人員來說，IT或者CT都只是外部工具；但進入5G之後，財團法人電信技術中心副執行長林炫佑指出，通訊科技將完全嵌入操作科技當中，三者的界線愈來愈模糊。換句話說，不論產業所屬是製造、運輸、農業、零售…..只要採用了5G、物聯網技術，也將同時加入IT產業和通訊產業。

「過去談到資安，都是IT人員的事；不過以後資安會是每個產業裡面的人，都需要了解的議題，」趨勢科技台灣暨香港區總經理洪偉淦補充。

未來每個產業都是IT業+通訊業，都得應付資安問題

就技術面來看，洪偉淦認為，駭客發動物聯網攻擊的手法其實與過去差異不大，例如使用DDoS攻擊使伺服器網路癱瘓、在系統後台植入木馬病毒；最大的差異，是系統更加脆弱、影響的層面更為巨大，而且從駭客攻擊成功後的利益來看，同樣的模式甚至能一再複製。

2016年發生的Mirai網路攻擊事件，是敲響物聯網資安問題的第一道警鐘。這起攻擊的首要目標，是一家法國的雲端服務廠商OVH，最後造成Netflix、Twitter、Spotify在內的大型網站都受到波及。然而，最值得關注的並非攻擊所造成的損失，而是當時駭客居然控制了美東地區超過14萬架的網路監視器（IP Camera）、同時對OVH發動DDoS攻擊，網路流量一度達到每秒1.2兆位元的等級，才造成網路大癱瘓。

「而且，這些IP Camera現在可能都還在正常使用，」洪偉淦分析，IP Camera的使用情境大多為家庭用來監看嬰兒或起居狀況，替換需求不高，而一般消費者也難以察覺設備是否遭到駭客入侵，「這等於為下一次的駭客大規模攻擊，預先做好的基礎建設。」

遍布14萬隻的IP Camera，成為駭客發動攻擊的利器

換言之，物聯網架構中的終端裝置，都是日後駭客發動攻擊的第一站。「這些裝置的用途大多單一，所以構造也相對簡單，相較於其他中大型設備，駭客要突破會簡單許多，」洪偉淦補充，終端裝置也往往是全天候的聯網運作，使駭客攻擊得手的機會大增；「所以像飯店客房的門禁系統、汽車的自動駕駛、無人機，甚至是我們自己周遭的智慧裝置，都有可能被駭客利用、攻擊。」

更麻煩的是，在各個垂直應用領域內，實際操作物聯網系統的人員，可能完全無法應付駭客。「每個組織內對於資安的重視程度都不同，權責分工也不是那麼清楚；還有，他們對於網路安全的了解程度與處理能力，可能也還比不上專業的IT人員，」洪偉淦認為，最關鍵的一點，是企業為了追求經營效率，反而輕視了網路安全的潛在威脅。「例如我們現在都知道，電腦的帳號密碼要牢記，不能隨便讓他人知道，但我有一次在某個客戶的物聯網裝置上，就清楚寫著裝置的帳號跟密碼！」

如同所有的資安問題，在物聯網的資安上至今也沒有能徹底防堵的解答，但洪偉淦認為，如果在物聯網系統的設計階段，就能把資安的因素考慮進去，對於防堵日後的攻擊會大有助益。「我們對終端裝置的需求都是輕薄短小、低能耗、常時聯網；但不論再怎麼追求這些效能，晶片裡都應該留一部分空間給資安防範，」他補充，考量這些裝置的使用情境，進行系統更新的方法也要能盡量簡化。「如果你的裝置是放在高速公路旁邊的廣告看板上，而每更新一次就得跑一趟手動操作，這樣你還會願意維持應有的檢查頻率嗎？」

資料來源：「5G時代來臨，資訊服務創新應用及關鍵挑戰 」研討會，2019/11/06

Facebook 在北美智權報粉絲團上追踪我們