ISACA Journal
Volume 2, 2,015 

Translated Articles 

物聯網提供絕佳的機會與更多的風險 (Internet of Things Offers Great Opportunities and Much Risk) 

作者:Marcelo Hector Gonzalez, CISA, CRISC and Jana Djurica 

這裡有幾種物聯網的定義,此幾種有著些微的差異。對於物聯網的定義,有的說是在現有互聯網基礎設施內,唯一可識別互聯互通嵌入式計算設備。另一種定義是,物聯網可以代表連接到網路的家電。現在對它的定義似乎傾向於最合理化的說法,”物聯網是一個針對動物或人都設置有唯一的標識符並且無需人到人或人到交互通過網絡自動傳輸數據的能力的裝置。物聯網就是幾乎處處洋溢著一個或多個微小的計算機或智能傳感器,且所有的傳輸數據流到網路的世界“1

維基百科將物聯網定義為在現有網路基礎結構內唯一識別的嵌入式計算裝置的互連;2 維基百科形容物聯網是個日益增長的網路,增加該IP 地址的互聯網連接,且這些目的和其他互聯網功能的設備和系統間發生的通信物理對象的網路。3

牢記這多變的定義及其中的差異,它可以被解釋成物聯網還在進化的初始階段。很快地,車子、房子、日常生活中的主要應用和其他基礎的物件、甚至城市街道都會需要連接網路、創造網路物件可以控制一切。這個網路會創造百萬裝置有著可以產生或捕獲數據的傳感器,其潛在的出現層出不窮。

物聯網包含三大元素:

  1. 很多案例代表裝置或捕捉生產數據的能力之情況,以及創造對環境影響的時間。
  2. 溝通式網路可將大多數事件互聯在一起。
  3. 計算系統可用在多數事件中所獲得的數據,是個最小的計算工具。

使用物聯網,事件可以互通甚至將利用數據分析出來的結果最佳化。這些數據可以當成個人數據也可以當成公共數據,可以用來測量溫度、氣壓、風向…等等。

想像若有人要從家裡徒步上班,天空多雲,那此人可能會疑惑,今天是否下雨?但此時他並沒有時間回去等待天氣預報出來,然而,若雨傘握把上有個紅燈警告可能有下雨的機會,那麼此人可馬上決定出門要帶雨傘預防下雨。

物聯網的目的是為日常生活中的物件建立一個方程式,具有高智慧來增加它的價值。上述的雨傘例子便是一個簡單的物聯網所提供的數據所獲得的好處,但還有進步空間,因為資訊會不斷的更新。David Rose 具有以下願景:物聯網是本身構成日常生活的基本結構的對象結合。4

物聯網的例子逐漸的成真。一家美國的公司,Ambient Devices 已經發展出各種裝置,包含雨傘可連接 AccuWeather5 還有提供給使用者的警報裝置在雨傘上。

想像力可以使這些更進步,想像一台灑水車可以用網路預測天氣狀況,然後可以利用這些資訊來優化使用水的方法跟支出費用來改善生態行為。如果公共垃圾桶可以自動壓扁所有垃圾並且在它滿的時候提醒收垃圾的人,這樣如何?

房屋保全系統已經允許房屋持有人可控制門鎖、電燈、溫控(圖一)但倘若這些可以針對使用者偏好來自動化,像是讓房子涼快點、打開窗戶或是打開電燈、氣溫控制,當使用者接近房子時,或是可以達到使用者所期望的成本?

潛在危機

我們身在一個不斷進步的聰明世界中,這裡不僅有個人電腦、桌電、智慧手機這些東西可以用來連接網路,而且有著數量非常龐大的不同裝置-像是藥罐子或雨傘到冰箱、手錶還有車子都即將會連線。看來唯一能限制發展的似乎只有想像力了。

這項科技的趨勢是重新繪畫如何將世界及個體戶相連接彼此或任何事物。這意味著人們、家庭及企業都將具有比一般消費科技更高的安全風險。

現在蓋房子的趨勢傾向於更有效率、更環保,安全和響應於變化的環境條件是導致多種啟用網路的技術。這些建築物及房屋的管理系統不 只變得越來越相互融合,他們也融入每一棟大廈的周邊之外的系統,創建一個智能電網。

許多嵌在現代家庭和組織互聯網功能的智能設備都有內置的保全,使他們容易受到可能破壞正常使用或操作並創建安全問題的攻擊。

由於可以連接到電燈、恆溫器及傳感器這些可以用智慧手機連接的裝置,因此會有些人想嘗試破壞這些設備或是透過肆虐賺錢。這些微弱的管理系統連接到網路可以提供保護裝置來防止系統被破壞。

人們可以控制一個家,一整棟建築甚至一個城鎮,保全系統必須同步發展來創造新的系統保護這些我們創造的事物。

但是這有可能對我們造成威脅,讓某些人可以透過家裡或建築的系統來引發嚴重的損害。又或者在科技的基礎設施上有潛在的影響,可能因為系統的故障或是自動化網路和機車設施的安全網路間的分隔不佳且未經授權存取數據而導致通信中斷。

在廣泛的跨分散設置和大規模的東西建立信任是信息安全專家提出了挑戰。

對傳統而言,家和建築管理系統還未考慮到 IT 系統,他們不是透過信息來管理監督,長期以來被認為是在設施設計者的管理之下的操作技術。這將須改變家裡、建築和城市新興的物聯網應用。設施設計人員,管理人員和IT 專家將需要 共同努力,以確定並減輕潛在的安全風險。”如今,物聯網提供了利用技術為明天帶來一個非常有吸引力的願景。但若太過專注於數據且不夠信任,那麼人們的行為將會為這件事帶來嚴重的隱私和安全風險。”6

一些障礙的存在阻礙物聯網的大規模流行的智能建築的一部分,在家裡或在一個企業。像是:

  • 物聯網的智慧科技仍然不便宜且若這項科技要在安全測量方面加強設計則會變更貴。事實上,這些系統的安全性是目前在一個相當低的水平。
  • 物聯網的智慧科技並未能完全控制且在某時刻並不存在一種獨特的結構。

然而,這只是時間的問題,這些問題都將會被克服。所以,資訊的安全性和控制專家需要開始對這些可能性作調整。

與物聯網的隱私相關的議題

物聯網的產品像是汽車、玩具、家具都可能被用在非法的監視。這些網路連接的東西都可能讓這些有心人獲得比以前更多的信息。例如,有心人可以將相機裝在玩具上來監視小孩子,透過裝在智能電視上網模塊監視人們的一舉一動,或當一個人出入家裡時可以透過安裝在門上的裝置來控制門鎖。這種威脅不僅是投機,許多安裝在汽車,醫療器械,飛機引擎和兒童玩具互聯網連接的模塊在座真正的漏洞,因為不是所有的這些設備在設計時考慮到隱私或安全。

這物聯網連接的模塊可以允許有心人不僅被動監視受害者還能積極地侵入他們的私人生活。這是因為許多東西可遠程控制,使有心人能夠以遠程停止冰箱,啟動加熱器或解門鎖。

另外一個重要的議題是它使創建、存儲巨大量的數據,共享一個人的生活習慣、行為和偏好。因此,監管機構,包括美國聯邦貿易委員會和歐盟委員會,正在轉向注意力投向了物聯網在呈現公民的日常生活中潛在的隱私和安全問題。

無庸置疑地,在廣泛的跨分散設置和大規模的東西建立信任是信息安全專家提出的挑戰。本 身是容易受到物理攻擊的裝置,在進行通信的網路並非總是固定,後端系統和數據存儲庫才是竊賊和恐怖份子的目標。機會主義者,黑客行動主義者,惡意的內部人士,甚至不擇手段的政府都是潛在的有能力攻擊者截獲關鍵數據在傳輸過程中或抓住這些設備的控制。

這是一個物聯網規模的問題,需要解決的方案

隨著越來越多的東西連接到互聯網,潛在的隱私問題,與設計相關的安全一般虛假的安全感和數據洩漏的可能性變得越來越重要。因此,他需要依賴兩件事:信任和控制,這兩個概念提供一個機會,同時對信息安全專家和IT 審計師的一個挑戰。這導致亞亞馬遜與數百萬客戶的互動在15 年前就提出同樣的問題。現在用於物聯網的不同之處在於,例如,公用事業公司能夠與數以百萬計的智能儀表或一個轉運中心,或與成千上萬的車子接口。相互驗證,安全通信和高完整性的消息,所有的在一個互聯網的規模將成為這些系統的核心安全基礎,所以是一個需要互聯網尺度解答的問題。這是一個比隱私更嚴重的議題,這是一個數以百萬計的個人權限修改的東西,會深深危及到安全、健康、環境、財政,還有千百萬的人們。

若物聯網如專家預期地被廣泛使用,數以百萬計的裝置將被連上網,而且網路管理的安全性將是一個關鍵,緊迫且複雜的問題。如果物聯網設備的大型品牌的供應商實現了一個完整的家庭或企業對入侵者設法攻擊並竊取個人健康或財務數據或物理物品的解決方法,這將是一場災難,不只是為了個人更是為了整個物聯網在世界各地的供應商。

例如,在最壞的情況下,如果有心人修改藥物分配器具有提醒藥物填充的參數,這將成為危及性命的潛在問題。

危害也可能像病毒傳播這樣乘倍影響,例如,如果家裡是防盜門的系統,而屋主出門時,可在幾分鐘內升級到與提供商已安裝相似的系統的大型領土相同的門鎖。

物聯網的安全性

多數物聯網的裝置都相互連接,所以較不安全。圍繞在網路安全及行動裝置間的相互關係的議題已經是這個不斷連通的時代中的一大挑戰。配置安全更新無效或不存在的計劃將成為物聯網的最大障礙。實際上是,漏洞不時地出現在所有的代碼中,使整個考慮設計和開發安全可靠的安全生命週期將有顯著較少的安全問題。然而,所有軟件製造商必須準備好快速處理好漏洞並提供補償來保護他們的用戶。

以上所有情況顯示,對物聯網而言,安全連接裝置是個重要的元素,但安全性通常不是製造裝置的企業最關心的部分。許多開發設備的工程師著墨在裝置的設計以及設備的互聯性上,這也導致安全性被忽略。

另一個缺乏安全性的原因可能是成本短缺。為了提升安全性,製造商須採取額外的步驟,像是開發安全模型、想補救辦法來維護安全設備,或是做漏洞滲透測試。因此,有些公司可能會乾脆停用安全性。而更複雜的是,許多設備使用嵌入式軟體且不易被修補。

要加速物聯網的發展,有些公司正在開發新技術以滿足安全,互聯互通問題的解決方案。例如,英特爾提供多個版本的性能和軟件功能的開發套件-理由是有不同類型的開發者,從業餘愛好者和熱情的專業人士。

不幸地,每項新的科技發展將會帶來新的一波安全性的威脅。

控制物聯網的因素

須多加注意以達到控制和減少潛在的網路風險:

盡量減少個人數據的收集像是智能電表旨在鼓勵遠端用戶用電轉移到非高峰時段或控制用水量幫助地球和降低成本為目標的傳感器。這些傳感器被設計來收集消耗量數據,以確定電,水或其他實用程序的使用,並相應地設定價格。這些數據被個別收集,所以可以控制那些數據是沒有經過本人同意而被放上網的。

盡量減少與個人連接的數據評估設備或軟體是否需要個人或私人資料進行連接一些其他數據是非常重要的。例如,是否有必要使用網路服務提供商的數據或可靜態網路協議來提供數據? 最 佳的方法是不把它連接到個人收集數據。我們通常偏好大量的較高級別的數據,大過於使用可能被連接到個人的數據。

最小化和安全的數據保留有時候,根據傳感器或設備品牌或配置,數據不僅發送還能存儲在公用事業提供商的設備內部或雲端。因此,人們最好的做法是一定要確保通過網絡發送的數據進行加密,以防止在運輸過程中個人信息洩露。此外,若有實用程序提供者的連接則不需額外的數據(除了這些服務提供的合約上被同意的數據) 應該被傳遞。

此外,傳統的控制應該記得:

  • 若某物被連接到一個家庭或企業的網路,他可以透過網路進行訪問,因為確認他只會曝露在該曝露的地方。
  • 複查安裝在設備上的安全設置,若是遠程監控,確認是否需要這項功能,將密碼改成較難破解的密碼,不要使用常用或容易被猜到的密碼。
  • 根據物聯網安裝在家庭或企業和現有曝露水平的複雜性,安裝防火牆來保護裡面所有的資源。
  • 定期檢查製造商的網站,看是否有更新或彌補到設備的軟體。

重點是要記得,用於連接車載信息系統傳感器的要求,與一般家庭、企業、公司或公共安全或政府機構的安全性要求截然不同。

沒有一個簡單的解決方法可以確保裝置的多樣性

這些獨特的需求增加了物聯網控制安全和實施的複雜度。沒有一個簡單的解決方案可以確保設備的多樣化,並沒有一個統一、有效的安全策略,因為不同廠商生產的設備都有不同的安全風險。同時,在找到一個統一的安全解決方案前,物聯網安全重點是最有效的。如此一來,當數據被存儲時,在處理或運輸過程中,同時保護個人和企業的安全性及隱私。

人性對物聯網的看法

The Jetsons7 中,被設定在天空軌道城市,主要展出的家庭生活對未來平均壽命與飛行的太空船、即時輸送管、機器然和很多使他們在短時間內可做完工作的科技機器。8

在不久的將來,現實生活中會有更多傳感器、小裝置,或許機器人會做很多人們可以做的事,很多人們不能做的事情,或是很多人們不喜歡做的事情。

未來有著很多不確定因素,關心這些會如何影響著人們。也許很多人會在家裡或在工作上學習不同的技能,一些基本的作業將透過合作及物聯網的這些設備來取代。

物聯網的挑戰應該積極主動地與完善的規劃,良好的安全策略和頻繁的物聯網審計評估得到滿足。

Google 的自動駕駛汽車就是一個例子。想像一下,一個充滿著無人駕駛車輛的世界,人們享受車程做想做的事情,像是休息、看書或是玩樂。這聽起來很驚人,在很多方面來說真的無法想像,但要走到這,許多變化將不得不取代簡單的創作技術。例如,這樣的技術,可以提供惡意的黑客有機會直入病毒在交通管制的網路中,改變網路塞車的位置或有示威者訊息的地方。

因為它引入了新的設備,網絡流量和協議,物理和生理的風險,這需要數據安全性的改進應用及更廣泛深入攻擊惡意軟件已改變目前的網絡安全戰略和行動準備。物聯網的挑戰應該積極主動且完善的規劃,良好的安全策略和頻繁的物聯網審計評估需得到滿足。

Endnotes

1 TechTarget, WhatIs.com, “Internet of Things,” http://whatis.techtarget.com/definition/Internet-of-Things
2 Wikipedia, “Internet of Things,” http://en.wikipedia.org/wiki/Internet_of_Things
3 Stroud, Forrest; “Internet of Things,” Webopedia, www.webopedia.com/TERM/I/internet_of_things.html
4 Rose, D.; Enchanted Objects, Scribner, USA, July 2014
5 AccuWeather is an American media company that provides for-profit weather forecasting services worldwide.
6 Stroud, Robert; “The Convenience/Privacy Trade-off on the Internet of Things,” Wired Innovation Insights Blog, 17 December 2013, http://insights.wired.com/profiles/blogs/the-convenience-privacy-trade-off-on-the-internet-of-things?xg_source=activity#axzz3MNq2UmCe
7 Hanna-Barbera, The Jetsons, an animated US television series (sitcom) that aired from 1962-1963.
8 Tucker, Jeffrey A.; “The Attempted Militarization of the Jetsons,” Mises Daily, Mises Institute, 21 September 2005

Marcelo Hector Gonzalez, CISA, CRISC, supervises IT environment and internal control in banks operating in Argentina. He is also responsible for auditing cross-border data processing outside of Argentina for international financial entities. He is a member of the Commission of e-Banking in the Central Bank of the Republic of Argentina, which has published several booklets on e-banking best practices. Gonzalez can be reached at [email protected].

Jana Djurica works at the National bank of Serbia as an IT supervisor of the Serbian financial sector. She is an IT expert with experience in auditing IT areas such as IT governance, risk assessment, internal IT audit, IT security, business continuity management, disaster recovery planning, IS development and IT outsourcing. She can be reached at [email protected].

譯者:徐立群, 國立成功大學會計學系,教授、電腦稽核協會 編譯出版委員會委員

Quality Statement:
This Work is translated into Chinese Traditional from the English language version of Volume 2, 2015 of the ISACA Journal articles by the Taiwan Chapter of the Information Systems Audit and Control Association (ISACA) with the permission of the ISACA. The Taiwan Chapter assumes sole responsibility for the accuracy and faithfulness of the translation.

品質聲明:
ISACA臺灣分會在ISACA總會的授權之下,摘錄 ISACA Journal 2015, Volume 2 中的文章進行翻譯。譯文的準確度及與原文的差異性則由臺灣分會獨立負責。

Copyright
© 2015 of Information Systems Audit and Control Association (“ISACA”). All rights reserved. No part of this article may be used, copied, reproduced, modified, distributed, displayed, stored in a retrieval system, or transmitted in any form by any means (electronic, mechanical, photocopying, recording or otherwise), without the prior written authorization of ISACA.

版權聲明:
© 2015 of Information Systems Audit and Control Association (“ISACA”). 版權所有,非經ISACA書面授權,不得以任何形式使用、影印、重製、修改、散布、展示、儲存於檢索系統、或以任何方式(電子、機械、影印、或錄影等方式)發送。

Disclaimer:
The ISACA Journal is published by ISACA. Membership in the association, a voluntary organization serving IT governance professionals, entitles one to receive an annual subscription to the ISACA Journal. Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT Governance Institute and their committees, and from opinions endorsed by authors’ employers, or the editors of this Journal. ISACA Journal does not attest to the originality of authors’ content.

Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in writing from the association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC), 27 Congress St., Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US $2.50 per article plus 25¢ per page. Send payment to the CCC stating the ISSN (1526-7407), date, volume, and first and last page number of each article. Copying for other than personal use or internal reference, or of articles or columns not owned by the association without express permission of the association or the copyright owner is expressly prohibited.

免責聲明:
ISACA Journal係由ISACA出版。ISACA 為一服務資訊科技專業人士的自願性組織,其會員則有權獲得每年出版的 ISACA Journal

ISACA Journa l收錄的文章及刊物僅代表作者與廣告商的意見,其意見可能與ISACA以及資訊科技治理機構與相關委員會之政策和官方聲明相左,也可能與作者的雇主或本刊編輯有所不同。ISACA Journal 則無法保證內容的原創性。

若為非商業用途之課堂教學,則允許教師免費複印單篇文章。若為其他用途之複製,重印或再版,則必須獲得ISACA的書面許可。如有需要,欲複印 ISACA Journal 者需向 Copyright Clearance Center (版權批准中心,地址:27 Congress St., Salem, MA 01970) 付費,每篇文章收取2.50 元美金固定費用,每頁收取 0.25 美金。欲複印文章者則需支付CCC 上述費用,並說明 ISACA Journal 之ISSN 編碼(1526-7407)、文章之出版日期、卷號、起訖頁碼。除了個人使用或內部參考之外,其他未經 ISACA 或版權所有者許可之複製行為則嚴明禁止。

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.