本網站使用cookies以改善您的使用體驗,並提供更優質的客製化內容。若您未改變cookies設定並繼續瀏覽我們的網站(點擊隱私權政策以獲得更多資訊),或點擊繼續瀏覽按鈕,代表您同意我們的隱私權政策及cookies的使用。
物聯網安全
19.Jun.2023
ETSI EN 303 645標準已成國際趨勢 強制性資安法規RED-DA該如何滿足?
鑑於家用智能設備普及率持續攀升,若設備存在資安隱患而未解決,恐將危害個人資料與消費者隱私,問題不容小覷。為此,歐洲電信標準化協會(ETSI)網路安全技術委員會在2020年6月發布之「ETSI EN 303 645消費型物聯網產品-安全基準(Cyber Security for Consumer Internet of Things: Baseline Requirements)」,最早起源於2018年6月,當時為TS 103 645;直到2019年2月才升格成EN標準並更名。該標準聚焦在消費性物聯網產品的網路安全,並納入GDPR的資料保護條款(Provision),該標準的主要目的是提供一個統一的框架與安全基線,幫助消費者物聯網產品製造商提升其產品的網路安全性,以確保其產品的安全性和隱私保護得到有效的管理和實作,以減少設備被入侵或濫用的風險,並已成為全球趨勢。
安華聯網技術服務處副處長潘勤强指出,根據歐盟的資通訊安全法,資通訊產品區分為基礎(Basic)、重要(Substantial)、高(High)三個網路安全等級,各有其對應的標準與合規基準,其中基礎等級即適用EN 303 645標準。迄今為止,包括歐盟、新加坡、芬蘭、德國在內的許多國家與地區,皆採用EN 303 645為基礎。根據2025年即將強制執行的歐盟無線電設備指令授權法案(Radio Equipment Directive: the Delegated Act for cyber security, RED-DA Article 3.3 d/e/f),該法規即針對無線電設備(含消費者物聯網產品)的市場進入提出了嚴格的要求,如防範網路濫用、增強個人資料與隱私的保護及防詐騙的安全規定,產品於符合上述要求並經測試後取得相關認證始得上市。
優先導入SSDLC 保證開發流程的安全性
潘勤强說,為讓全球製造商/開發商有明確的指引,歐盟歐洲委員會(European Commission)於2002年8月發出標準化請求,由CEN/CENELEC訂定調和標準(Harmonized Standard),其內容融合了ETSI EN 303 645與IEC 62443標準。為滿足該資安法規,製造商/開發商除將ETSI EN 303 645與IEC 62443標準作為行動指南外,仍應先行導入安全軟體開發生命週期(Secure Software Development Lifecycle,SSDLC),使製造商/開發商得在產品的生命週期中早期識別和排除任何安全問題。
EN 303 645標準,為確保物聯網裝置的安全性及個人資料隱私安全,該標準提出一系列的要求和建議,如禁止使用通用的預設密碼、允許個人刪除個人隱私資料及廠商須建立漏洞回報流程與機制等。由於新興之網路安全標準趨勢並非單純完成產品開發並經由安全測試等即可符合RED-DA等網路安全法規之要求,該調合標準中所引用,無論是IEC 62443-4-1或是ETSI EN 303645均內含Secure by Design要求。換言之,製造商/開發商並非僅將產品功能開發完成,即可直接通過EN 303 645認證,還須證明整個開發歷程的安全性。透過SSDLC,我們可以確保我們的產品在開發過程中依循這些安全要求進行,以達到Secure by Design,得以進一步符合RED-DA等法規要求。惟目前因RED-DA之調和標準仍在制訂中,其範圍與實際條款仍未確立,以下將以EN 303 645為合規主要說明對象。
EN 303 645標準,為確保物聯網裝置的安全性及個人資料隱私安全,該標準提出一系列的要求和建議,如禁止使用通用的預設密碼、允許個人刪除個人隱私資料及廠商須建立漏洞回報流程與機制等。由於新興之網路安全標準趨勢並非單純完成產品開發並經由安全測試等即可符合RED-DA等網路安全法規之要求,該調合標準中所引用,無論是IEC 62443-4-1或是ETSI EN 303645均內含Secure by Design要求。換言之,製造商/開發商並非僅將產品功能開發完成,即可直接通過EN 303 645認證,還須證明整個開發歷程的安全性。透過SSDLC,我們可以確保我們的產品在開發過程中依循這些安全要求進行,以達到Secure by Design,得以進一步符合RED-DA等法規要求。惟目前因RED-DA之調和標準仍在制訂中,其範圍與實際條款仍未確立,以下將以EN 303 645為合規主要說明對象。
ETSI EN 303 645測試驗證與開發指引
如上所述,EN 303 645係訂定物聯網資訊安全的基本要求。此外,為能讓本標準的測試與驗證一致性,ETSI在2021年發布「TS 103 701 消費型物聯網產品-安全基準合規評估(Cyber Security for Consumer Internet of Things: Conformance Assessment of Baseline Requirements)」,旨在為測試實驗室提供指引,應如何針對EN 303 645標準執行測試與評估。2020年,ETSI再推出「TR 103 621 消費者物聯網產品網路安全指南(Guide to Cyber Security for Consumer Internet of Things),係為製造商/開發商瞭解並符EN 303 645合規要求提供實作指南(Implementation Guide)。至此,EN 303 645完備其全系列標準、測試驗證與開發指引。
而EN 303 645涵蓋範圍甚廣,如物聯網閘道器、煙霧偵測器、穿戴式智慧裝置、智慧家庭系統、智慧攝影機、智慧電視與揚聲器…等都在適用範圍之列。然,考量物聯網產品和使用情境的的多樣性,該標準針對有實體使用限制的設備,例如,運算、通訊、儲存或電力供應侷限的設備,定義為受限設備(Constrained Device),另針對其特性特別制訂適用條款以符合實際使用情境;至於行動應用或雲端服務,則不在EN 303 645適用範疇。
潘勤强接著指出,EN 303 645共有13+1個網路安全與資料保護條款,裡頭蘊含68個要求,其中33個係強制要求,另35個為建議要求。值得一提,在資安界為人熟知的OWASP IoT Top 10弱點,基本上都被涵蓋在EN 303 645標準內,例如,弱密碼或硬編碼密碼與隱私防護不足等,意謂SO(Supplier Organization;製造商/開發商)須正視這些問題並加以解決。
至於SO如何展開EN 303 645合規旅程?首先研發團隊須導入「安全軟體開發生命週期」(SSDLC),IEC 62443也有相同概念,都要求實現基於安全的設計、即Secure by Design,在產品設計階段納入安全考量。其次需要根據EN 303 645、TR 103 621等文件來理解相關要求,以完成產品設計與開發。當完成產品開發,可委託擁有合格第三方測試實驗室「安華聯網」執行測試。接著測試實驗室將依TS 103 701規範,要求SO先行填寫實作一致性聲明書(ICS, Implementation Conformance Statement)與實作額外資訊表(IXIT, Implementation eXtra Information for Testing)等文件,據此制定測試計畫並開展測試作業。
而EN 303 645涵蓋範圍甚廣,如物聯網閘道器、煙霧偵測器、穿戴式智慧裝置、智慧家庭系統、智慧攝影機、智慧電視與揚聲器…等都在適用範圍之列。然,考量物聯網產品和使用情境的的多樣性,該標準針對有實體使用限制的設備,例如,運算、通訊、儲存或電力供應侷限的設備,定義為受限設備(Constrained Device),另針對其特性特別制訂適用條款以符合實際使用情境;至於行動應用或雲端服務,則不在EN 303 645適用範疇。
潘勤强接著指出,EN 303 645共有13+1個網路安全與資料保護條款,裡頭蘊含68個要求,其中33個係強制要求,另35個為建議要求。值得一提,在資安界為人熟知的OWASP IoT Top 10弱點,基本上都被涵蓋在EN 303 645標準內,例如,弱密碼或硬編碼密碼與隱私防護不足等,意謂SO(Supplier Organization;製造商/開發商)須正視這些問題並加以解決。
至於SO如何展開EN 303 645合規旅程?首先研發團隊須導入「安全軟體開發生命週期」(SSDLC),IEC 62443也有相同概念,都要求實現基於安全的設計、即Secure by Design,在產品設計階段納入安全考量。其次需要根據EN 303 645、TR 103 621等文件來理解相關要求,以完成產品設計與開發。當完成產品開發,可委託擁有合格第三方測試實驗室「安華聯網」執行測試。接著測試實驗室將依TS 103 701規範,要求SO先行填寫實作一致性聲明書(ICS, Implementation Conformance Statement)與實作額外資訊表(IXIT, Implementation eXtra Information for Testing)等文件,據此制定測試計畫並開展測試作業。
先確認設計合理性 再驗證設計的真實性
對於測試實驗室而言,SO須提出實作一致性聲明書做出相關實作的聲明,詳細說明受測設備(DUT)中實作或支援的功能。由於該聲明書中分為四種狀態:強制性要求(Mandatory)、建議性要求(Recommendation)、有條件式強制性要求(Mandatory with Condition)、有條件式建議性要求(Recommendation with Condition),SO須詳細填寫該聲明書,值得注意的是,若要整體判定通過,至少所有強制性要求之所有項目須支援並通過測試。而,有條件式強制性要求與有條件式建議性要求項目,若其條件不符合,標準允許其標示不適用,惟須述明合理之原因或理由;至於建議性要求項目,假使SO有意受測(標準原則上鼓勵申請測試),仍可填寫為YES,但到第六階段「整體合規評定」時,若確認某建議性要求項目測試未通過,「整體合規評定」就不會過關。故最後SO、測試實驗室須進行協商並決定哪些建議性要求或有條件式建議性項目應排除以符合標準之具體合規評定。
除了實作一致性聲明書外,SO另應針對其受測設備之設計,詳細填寫實作額外資訊表,共分為29個獨立表格,旨在使測試人員瞭解產品設計與實作方式及須進行測試之內容,例如該受測設備可透過HTTPS協定於443埠進行存取,其認證因子為預安裝之密碼(Pre-installed password),包含其預設密碼產生方式、密碼學應用相關細節(如HTTPS是通過TLS通道並使用哪些安全套件)等。測試實驗室須獲得相應的說明,始得針對受設備進行完整安全測試。
換言之,實驗室會依一致性聲明書中列為YES的項目逐一進行安全測試測試;然規範中並未限定具體的測試工具與步驟,因此不同的實驗室,可能採用不同工具來測試同一個安全項目。此外針對TS 103 701所列測試情境而言,例如5.1-1,就涵蓋兩個不同測試用例(Test Case),分別為概念性(Conceptual)與功能性(Functional)驗證,前者主要是依據實作額外資訊表相應的設計內容,驗證SO撰寫的設計內容的合理性,確認完成後進入與功能性驗證,驗證產品的實際運作與其提供之實作額外資訊表相應的設計內容是否相符。
完成測試後,測試實驗室將提出測試報告,載明其驗證與測試結果,當驗證設計合理且實際驗證亦符合將評定為“Pass”;若當中只要有一項評定為“Fail”,即無法通過整體合規驗證。惟若因建議性要求或有條件式建議性項目(非强制性)未通過,而整體判定未通過,可在一致性聲明書重新聲明不符合項目,以此來達到整體判定通過的目的。
潘勤强根據實測經驗,分享幾個值得SO留意的重點。例如有的產品用HTTP方式傳送帳密驗證封包,但HTTP為明文傳輸,相對不安全,即便傳輸內容已經過編碼、弱加密等處理,仍有機會遭駭客進行破解,像該實例中,其傳輸之雖經由MD5進行保護,但仍被測試人員還原,而導致最終驗證不通過。此外,像是SO是否實作漏洞披露政策、是否保持軟體更新、或在通訊中使用的加密套件是否達到最佳實踐建議的安全的版本(例如,TLS 1.2以上),都是測試的重點。
綜上所述,建議SO將ETSI TS 103 621 視為實作時的重要指南與參考文件,必要時協請專家的指引或協助,以縮短導入時程。請記住不僅僅EN 303 645將軟體安全開發生命週期(SSDLC)納入規範,還包括OT/IIOT領域標準IEC 62443、車載領域標準ISO/SAE 21434等也提出類似的要求。這已經成為當今的共識和最佳實踐。因此,尋求網路安全標準合規的第一步,就是導入SSDLC。同時,請密切關注並遵守相關領域的法規與標準,以確保您的物聯網設備具有適當的安全性和隱私保護措施。如有需要,隨時尋求專家的協助和指引,以確保順利實作和達到法遵與合規目標。
除了實作一致性聲明書外,SO另應針對其受測設備之設計,詳細填寫實作額外資訊表,共分為29個獨立表格,旨在使測試人員瞭解產品設計與實作方式及須進行測試之內容,例如該受測設備可透過HTTPS協定於443埠進行存取,其認證因子為預安裝之密碼(Pre-installed password),包含其預設密碼產生方式、密碼學應用相關細節(如HTTPS是通過TLS通道並使用哪些安全套件)等。測試實驗室須獲得相應的說明,始得針對受設備進行完整安全測試。
換言之,實驗室會依一致性聲明書中列為YES的項目逐一進行安全測試測試;然規範中並未限定具體的測試工具與步驟,因此不同的實驗室,可能採用不同工具來測試同一個安全項目。此外針對TS 103 701所列測試情境而言,例如5.1-1,就涵蓋兩個不同測試用例(Test Case),分別為概念性(Conceptual)與功能性(Functional)驗證,前者主要是依據實作額外資訊表相應的設計內容,驗證SO撰寫的設計內容的合理性,確認完成後進入與功能性驗證,驗證產品的實際運作與其提供之實作額外資訊表相應的設計內容是否相符。
完成測試後,測試實驗室將提出測試報告,載明其驗證與測試結果,當驗證設計合理且實際驗證亦符合將評定為“Pass”;若當中只要有一項評定為“Fail”,即無法通過整體合規驗證。惟若因建議性要求或有條件式建議性項目(非强制性)未通過,而整體判定未通過,可在一致性聲明書重新聲明不符合項目,以此來達到整體判定通過的目的。
潘勤强根據實測經驗,分享幾個值得SO留意的重點。例如有的產品用HTTP方式傳送帳密驗證封包,但HTTP為明文傳輸,相對不安全,即便傳輸內容已經過編碼、弱加密等處理,仍有機會遭駭客進行破解,像該實例中,其傳輸之雖經由MD5進行保護,但仍被測試人員還原,而導致最終驗證不通過。此外,像是SO是否實作漏洞披露政策、是否保持軟體更新、或在通訊中使用的加密套件是否達到最佳實踐建議的安全的版本(例如,TLS 1.2以上),都是測試的重點。
綜上所述,建議SO將ETSI TS 103 621 視為實作時的重要指南與參考文件,必要時協請專家的指引或協助,以縮短導入時程。請記住不僅僅EN 303 645將軟體安全開發生命週期(SSDLC)納入規範,還包括OT/IIOT領域標準IEC 62443、車載領域標準ISO/SAE 21434等也提出類似的要求。這已經成為當今的共識和最佳實踐。因此,尋求網路安全標準合規的第一步,就是導入SSDLC。同時,請密切關注並遵守相關領域的法規與標準,以確保您的物聯網設備具有適當的安全性和隱私保護措施。如有需要,隨時尋求專家的協助和指引,以確保順利實作和達到法遵與合規目標。
媒體報導