物聯網設備符合資安標準已成定局 不只設備本身安全驗證 開發流程認證也成近年焦點

近年，物聯網安全議題越來越受關注，例如既有視訊監控主機（DVR）等連網設備遭駭問題不斷，還有更多新興物聯網設備應用發展擴張，因此，導入資安標準來落實產品資安，成為近年備受關注的焦點。例如，臺灣在經濟部與NCC合作下，推行的物聯網資安標章制度，盼國內業者能提升產品資安水準，近期舉辦AIoT產業資安標準的演講，我們看到國內提供物聯網資安合規解決方案的業者討論此議題，他們是從國際間物聯網設備資安導入與認驗的角度，說明現況觀察。

對於通過物聯網認證與標準，就現階段而言，國內仍有許多廠商其實還沒做好準備。安華聯網總經理洪光鈞指出，在他們的經驗中，有一半的客戶是在很臨時的狀況下，來詢問認驗證該如何做，也就是在產品已經設計規畫好，到了後期的階段，才知道有認驗證需要通過。

對於物聯網認驗證的現況，導入前有哪些注意事項？洪光鈞說，首先，第一件事，就是要能了解物聯網資安標準的分類，他歸納為三大面向，分別是法規規範，品牌要求，以及產業需求。

在法規規範方面，屬於強制性的要求，如美國FIPS 140-3、英國CPA等，在品牌要求方面，是業者會要求各自的供應商，必須符合業者本身所制定的安全要求規範，如Amazon、Apple、Goolge，以及AT&T、Nokia與Siemins等；在產業需求方面，包括國際標準化組織（ISO）、國際電工委員會（IEC）的標準，隨著產業物聯網發展跟成熟，現在這類標準越來越多，包括資通訊產品的ISO/IEC 15408，物聯網設備的CTIA，以及工控產業的IEC 62443等。同時，還要注意產品銷售的國家、區域、產業，以及銷售對象是政府、品牌與標案等。

引發我們關注的是，在談到產業需求方面，洪光鈞強調，已有越來越多的第三方非營利組織是出標準或認證／標章計畫。這意味著，物聯網設備符合資安標準已是市場看重的潮流。

他並舉例，以設備本身的認證而言，若是一個物聯網產品的業者，想要將設備賣到美國市場，像是帶有無線網路功能的智慧家庭監控設備，要注意的是，美國無線電聯盟（CTIA）近年推動一項IoT Cybersecurity Certification Program，就是可以遵循的第三方標準，認證時間大概是兩三個月。
 

另一個我們關注的焦點，是在品牌要求方面，洪光鈞還強調了一點，是廠商在產品安全的要求上，不只針對產品本身，也可能包含開發上流程安全的要求，而他已經觀察到，有越來越多安全相關標準聚焦於此，因此，對於認證範圍的確認，必須要特別注意。

他進一步說明，以產品本身安全性而言，認驗證較單純，要求項目比較偏技術性項目，而開發流程安全的範圍牽扯較大，往往需要外部顧問公司協助，因為這可能牽扯到開發流程管理流程。

他以業者自行開發的工控系統的情境來說明，該業者本身有開發團隊、PM、RD、QA與售後支援等，而在工控標準IEC 62443中，可取得認證的部分，包含IEC-62443-2-4，以及3-3、4-1與4-2等。簡單而言，2-4與3-3屬於管理流程面，4-1是開發流程面，4-2則是針對產品本身安全的認證。而此管理制度分成四個成熟度等級，他建議至少要達層級2以上，同時，由於這方面牽扯到內部管理措施，因此認證時間較長，約在半年到一年。

整體來看，他表示，對於臺灣IoT設備的業者或OEM、ODM廠商而言，瞭解產品銷售對象、地區是否有強制性要求，或是業者客戶是否指定與要求，就是最簡單的方式，不過，洪光鈞指出，根據目前他們遇到的狀況是，很多時候設備業者也沒辦法告訴製造商要取得什麼認證，所以也無法及早與開發單位溝通。他也感嘆，當認驗證時發現缺失要修正改善，會是取證業者面對的一大挑戰，容易造成時程無法掌握。而這樣的問題，就是業者最好要能先注意到的狀況。
 

對於物聯網產品在資安的要求，洪光鈞強調，現在物聯網安全已經要變成基本要項，因為歐美國際大廠都已經在做這件事，由於臺灣很多都是供應商，因此必須跟上腳步，而且，如果現在還是不想做，但要知道的是，之後這會變成一個基本門檻，不論進入那個市場都必須通過相關認驗證，這也意謂著，通過認驗證才有與國際產品競爭的資格。

對於物聯網資安的認驗證，洪光鈞整理出五個導入與取證上所需要的注意事項，包括瞭解物聯網資安標準的分類、挑選適合的標準、投入前的準備、導入或驗證時的配合事項，以及說明標章、證書的幫助。

特別的是，還有一個常見狀況是，洪光鈞說，在他們過去經驗中，當客戶進行認驗證時，雖然溝通、預算及時程都準備好了，但在產品送到認驗證機構時，發現產品缺失要修正，容易發生問題，因為修正與改善的時程沒法掌握，他們遇過修正耗時半年或一年的狀況。他建議，最好要與開發單位有良好的溝通，加強安全開發，並預留修補時間。