暗網潛航——物聯網、勿聯網(下)

  我一直認為技術中立。當全球即將邁入「智慧城市」及「物聯網」世界,駭客卻如入無人之境地騎劫電子產品,甚至取用個人資料,確實會嚇怕不少用家。然而,問題非出自這些產品的出現,而是忽視產品信息安全的商人。

  部份商人為求宣傳噱頭,往往增加大量無用功能,例如有些咖啡機和電飯煲能夠上網,聲稱可以遙控煮食,但真的有需要嗎?明明大部份煮食電器已有機械操控的時間制;更重要的是,無論它有多強,也要自己把咖啡豆和米加進去。

        廠商加添新的聯網功能,卻忽視當中的風險。就算是一部看似複雜的智能汽車,對信息安全專家而言,只是一部沒有任何防護措施的電腦,加上四個輪能夠行走的裝置,聯網之後可能比真正的電腦更容易入侵。

應提高物聯網安全認知

  事實上,物聯網電器就如你的電腦或智能手機一樣,你會設置不同的密碼及驗證提高安全性,那麼對待智能家具也應有同等的戒心,才能安全使用。而在政府層面,我認為除了要帶頭教育及提高外界對物聯網安全問題的認知外,也要從制度上作出調整,包括:

  (一)對物聯網產品進行登記註冊,就像機電工程署現在登記註冊所有電器的安全性一樣,並對每一件產品加入獨一無二的電子證書,令安全監控系統(SIEM)能夠分辨他們每一件產品。我們要清楚了解這些產品誰在做、誰在賣、用在什麼地方,它們的安全規格及能力界限是什麼等等。假如出現安全問題可以更快被追踪出來,而非成為「神秘懸案」。

  (二)政府應盡快諮詢業界,制定物聯網產品安全的法例及標準指引。目前各個廠商安全技術水平參差,出現問題後也沒有辦法調查及改進,形成重大安全漏洞。

  (三)政府應盡快建立合乎國際標準(ISO 17025)的電子取證及鑒識調查實驗室。原來香港貴為國際金融中心,竟然沒有相關的實驗室!現時香港擁有這資質的實驗室,只用作檢測建築物料安全及食品安全等,但卻沒有電子取證,意味我們沒法與其他城市的電子取證及鑒識調查實驗室進行同一水平的電子證據交換。

        相比日本、台灣及中國都已分別建立法例、登記制度及國際標準的實際室,香港在信息安全上比其他競爭對手「慢幾拍」!只有完善及制度化的管理,才能將物聯網產品的安全隱患降到最低,用戶才能放心使用,智慧城市才能加速發展。

TOZ聯合創辦人

龐博文


hd