今年2月7日，美国24个横跨零售、农业、制造、软件、医疗科技的工商业团体，联名发信给白宫，要求美国执政当局以及国会尽速制订一套全面性的物联网资安防护机制。作为响应，美国的参、众两院同步在四月底时举办听证会，了解美国产业界为何对于物联网的资安威胁很焦虑。

先举个例子说明什么是物联网资安威胁。在电影《速度与激情8》(Fast & Furious 8) 当中，恐怖份子为了抢夺一只能指挥核弹发射的手提箱，远程遥控了纽约街头的许多辆自动驾驶汽车，把目标对象层层包围住，任何救援行动都因此束手无策，恐怖份子顺利达成目的。

不要以为这只是电影的吸睛噱头。去年12月，Alphabet（Google母公司）旗下的家庭智能装置厂商Nest所生产的监视摄影机，就发生过被黑客入侵、释放「北韩已对美国发射飞弹」假消息的事件。在此之前，2017年的Satori恶意软件，也曾经造成全球10万部路由器发生感染。电影中铺陈的夸张情节，跟真实世界的距离只有一步之遥。

物联网资安威胁，已经迫在眉睫

图1：nest制造的监视摄影机，去年底曾爆发被黑客入侵事件

数据源：https://nest.com/

很明显地，万物联网所应许的事件，并没有想象中那么美好。今日的人类社会，对于资通讯产品的依赖程度年年提高：早上一起床，手机的数字助理告诉我们天气状况；坐上汽车，驾驶系统自动设定上班的最佳路径；要吃饭了，穿戴装置提醒热量摄取上限……。然而，当愈来愈多的生活大小事，都是利用科技代劳后，若被有心人士在不知不觉中操弄，所造成的损害也会无比巨大。

麻烦的是，物联网的资安危险，又比传统的计算机病毒更难防范。物联网的一大特色，就是不同的通讯机制相互堆栈，例如一辆自驾车所连接的，可能有道路上的交通号志指示系统、Google的自动导航系统，而用户又用iPhone手机在车内播放网络实时串流音乐，而车子本身又跟制造商时时保持联系…..。换句话说，万物都连上网后，物与物之间的讯息传递，变得更多元、更复杂、更难以监控，但只要能找到一个突破口，就是资安恶梦的开始。

欧盟修正网络安全法，建立共通资安标准

面对物联网的新兴资安威胁，许多国家和企业陆续提出解决方案。欧盟（EU）在单一数字市场（Digital Single Market）的政策框架下，在2017年就提出第一版的网络安全法案（Cybersecurity Act），授权欧盟网络信息安全署（European Union Agency for Network and Information and Security, ENISA）整合原先个成员国各自的网络安全架构。今年3月，Cybersecurity Act进行第一次大修正，正式任命ENISA为欧盟的网络安全主管机关，也给予更充足的人事和财务资源。此外，也第一次提出涵盖欧盟整体的网络安全认证架构，使各成员国在信息软、硬件上确实达到一致的资安标准。

美国电信业协会（USTelecom）以及信息科技产业论坛（ITI）则指出，若要防范物联网资安威胁，可以从网络基础建设、软件开发、终端设备、家庭与中小企业以及大企业五个面向出发，并且提出了实务操作上的建议；但他们也警告，资安防护是所有利害关系者共同的责任，必须要靠政府部门、企业、消费者相互协助才能成功。如果政府或企业仅仅是头痛医头、脚痛医脚地消极应付，资安威胁将永无休止的一天。

未来全球的联网设备，恐怕得以「十亿」当成计算单位，而且这些设备不再是传统的计算机、手机、平板，而是红绿灯、雨伞、瓦斯炉或路边任何一块广告广告牌。当生活周遭所有物品都成为电子设备时，我们是否准备好应付潜在的威胁了呢？

数据源：

1. NEST CAMS HIJACKED IN THE NAME OF PEWDIEPIE AND NORTH KOREA PRANKS, Wired, 2019/01/23
2. The Cybersecurity Act strengthens Europe's cybersecurity, European Commission, 2019/03/19
3. International Anti-Botnet Guide, CSDE

好消息～北美智权报有微信公众号了！ 《北美智权报》内容涵盖世界各国的知识产权新闻、重要的侵权诉讼案例分析、法规解析，以及产业与技术新知等等。 立即关注北美智权微信公众号→ NAIP_IPServices ～欢迎读者分享与转发～