「這個世界唯一不變的,就是變」,這句話來形容科技進步再適合不過了。眾多新科技的出現,不但為企業開創新的可能性,也從個人化層面影響我們的生活方式。隨著物聯網、擴增實境(AR)、5G、無人機和人工智慧(AI)等技術的興起,有哪些相關的安全疑慮值得注意?
物聯網:連網功能產生額外風險
IDC預估到了2025年全球將有416億個連網裝置,產生的資料量高達79.4ZB(zettabyte,1ZB = 10的18次方TB)。物聯網的普及率以亞太地區最高,預計到了2023年其相關支出將達到3,986億美元。亞太區各地政府已積極推動各產業採用物聯網,包括運輸、製造、醫療照護和零售等。
物聯網裝置通常藉由嵌入感測器、處理器和通訊硬體來收集、傳送資料,並據此進行下一步行動;由於本身就具備連網特質,這些裝置已因其有限的安全性而備受關注。 單就醫療照護產業來看,像血糖偵測計、智慧藥盒和胰島素幫浦,都是目前已廣為使用的物聯網裝置,但近日傳出胰島素幫浦因產品內部存在資安漏洞而宣布召回。這個問題尤其令人擔憂,這類事件很可能直接影響病患健康。
如2017年時就有團隊發現可以利用LG SmartThinQ行動與雲端應用程式的漏洞,從遠端登入SmartThinQ,管理使用者的合法LG帳戶,進而控制吸塵器及其內建攝影機。一旦攻擊者接管使用者的LG帳戶,所有與該帳戶連結的LG裝置或家電都可能連帶被控制,掃地機器人、冰箱、烤箱、洗碗機、洗衣機、烘乾機和空調等都無一倖免。不過後來LG在接受到這個漏洞訊息後,也立即修復SmartThinQ應用程式,阻止此應用程式與裝置遭利用。
此外,數位相機也極易在連接USB和WiFi時遭到勒索軟體與惡意軟體攻擊。由於攻擊者可將勒索軟體植入相機及其連接的電腦中,智慧裝置更容易受到威脅──這些照片最終可能被加密,直到使用者支付贖金才會解鎖。
直到現在,確保企業環境下的物聯網裝置安全都還是一項充滿挑戰的任務,部分原因是我們仍依賴功效有限的傳統安全控制方法。資安策略必須與時俱進,結合傳統和新型控制方法,才能解決這類裝置所產生的安全疑慮。
擴增實境:能否從過去經驗汲取教訓?
導入擴增實境對企業來說是很好的機會,可提升營運、顧客體驗等功能。相關技術的採用可望於2020年進入主流,特別是利用主動式(pre-emptive)手法來確保這類科技的安全。雖然擴增實境為企業帶來許多競爭優勢,卻也讓網路罪犯有機會發動新型攻擊,這與我們習以為常的模式大不相同。
擴增實境開發人員必須謹慎以對,牢記物聯網導入後的諸多教訓。這類裝置要修正程式是出了名的困難──從過往發現的大量漏洞來看,這的確是一大隱憂。我們強烈建議廠商將安全功能納入產品開發過程,不要事到臨頭才匆忙應對。
5G:資料量暴增,引發隱私問題
行動網路營運商正為5G服務鋪路,部分業者甚至誓言要在年底前進入商用階段。5G網路將帶動各種新型應用興起,讓使用者能夠將更多裝置連上網路並相互連結,同時鼓勵使用者擷取並分享更多的個人資料。
這類新型網路的主要特色之一,就是收集的資料量將因大量連網裝置和相關感測器而加速增長。舉例而言,智慧型手機將成為其他個人裝置的超級連結樞紐,電子醫療應用程式將收集使用者健康相關資料,連網汽車將偵測使用者的行動,而智慧城市應用程式則可收集使用者日常生活相關資訊。這些都將帶動個人資料量暴增。
許多安全專家都提到,使用者隱私是5G網路最大的挑戰。 諸多利害關係人未來必須協力合作才能解決這些疑慮。這將牽涉到業界團體、網路營運廠商、制訂準則及規定的政府機關,以保障通訊、資料和隱私的安全性。
無人機:潛藏的風險
無人機為一種獨特的威脅,其自由移動的特性,能輕易進入管制區域。他們多半為了拍攝照片或影片,非法闖入機場、政府用地和其他禁區,這已引起多方疑慮。一旦結合既有的攻擊向量,這些無人機裝置就可能變身非常有效的偵查和滲透工具。
無人機價格低廉且易於使用,可執行監控作業、擷取資料並中斷網路連線。為此目前市場正在開發專為無人機資安使用的專業服務,協助企業降低相關風險。
對無人機的威脅缺乏意識,是目前強化防護問題的最主要障礙,不過未來這個狀況可能會隨著媒體報導增加而改善。2018年11月,Check Point分析師就發現由無人機領導廠商大疆(DJI)所架設的線上論壇出現潛在資安漏洞,一旦遭到利用,攻擊者就可能取得無人機飛行時所拍攝的影像。
人工智慧:早期跡象均屬正面
傳統安全工具的挑戰之一,就是相關部署和管理都有一些行政管理上的負擔,必須制訂政策、進行維護,同時針對警示做出回應。
這個領域就是人工智慧大有可為之處。許多人期盼未來智慧工具不只能讓人力密集的工作自動化,還能利用蒐集而來的洞察資訊,發現人類可能忽略的地方。
雖然資安團隊已開始使用這類功能,對手卻也部署了人工智慧工具,發動的攻擊越來越複雜。舉例來說,只要利用機器學習技術,網路罪犯就能設計出更令人信服的訊息,成為網路釣魚詐騙活動的一部分。他們可針對每個被攻擊者量身訂做寫作風格和內容,以提高傳送訊息後達成目標的機率。
儘管人工智慧前景樂觀,還是建議企業不要太快放棄傳統的安全控制方式。專家建議目前最好的做法是選擇性地採用人工智慧解決方案,來補足既有防護措施的不足。
雖然上述技術的進展都能為企業及個人帶來極大好處,但還是有許多風險必須考量。每當突破式創新技術進入市場時,往往為了加速產品上市而忽略安全性。謹記從行動和雲端運算等過往科技轉變時汲取的教訓,能讓初期採用者降低投資結果出現意外的可能性。
責任編輯:陳建鈞
《數位時代》長期徵稿,針對時事科技議題,需要您的獨特觀點,歡迎各類專業人士來稿一起交流。投稿請寄edit@bnext.com.tw,文長至少800字,請附上個人100字內簡介,文章若採用將經編輯潤飾,如需改標會與您討論。
(觀點文章呈現多元意見,不代表《數位時代》的立場。)
