早前本站曾探討過物聯網(IoE)潛在的 IT 保安問題。Gartner 預測 2020 年時全球物聯網裝置將是 2009 年的 30 倍,達到 260 億台規模。幾年後物聯網將愈來愈生活化,但至今仍未有用家和廠商重視其保安問題,Unwire.pro 早前專訪的卡巴斯基創辦人 Eugene Kaspersky 更揚言,直到公眾有意識前都「無計可施」。
物聯網裝置十年增加 30 倍
也許有些人覺得物聯網還只是遙遠的事,但其實 Gartner 預測僅僅六年後的 2020 年時,不含電腦、平板及智能手機在內的物聯網裝置數量將成長至 260 億台,較 2009 年的 9 億成長近 30 倍。Gartner更預測,2020 年物聯網產品與服務供應商將創造逾 3,000 億美元的邊際收益,各類終端市場的銷售業績將帶來 1.9 兆美元的全球經濟附加價值。
當生活中愈來愈多裝置都連上網路,就為一般家居帶來愈多的入侵危機。物聯網裝置為了具備一定的智能功能,一定會有內置的軟件系統,而且愈多功能就需要愈多程式碼。這些系統基本都是以一般 Linux 或 Android 為主,對廠商而言設計安裝都很方便,但對黑客入侵而言同樣帶來方便。
由於 Lunix 平台出現的系統漏洞,這些裝置同樣會出現,但一般消費者根本無知識或能力去替這些裝置做系統修補,因此對黑客而言幾乎是予取予攜。另一方面,這些裝置並無面向一般消費者的操作介面,更遑論有方法為它們安裝防毒軟件,即使像卡巴斯基這類保安公司根本就具備了該些平台的產品,一般消費者根本不懂安裝,這也為物聯網保安帶來不少壓力。
保安廠商只能乾著急
早前在全球大賣的電腦遊戲《Watch Dogs》,玩家需扮演主角駭入不同的系統以解決任務,而且入侵的對象並不限於手機、電腦,還可以是監控攝像機、交通指揮設備等系統。遊戲固然是遊戲,但不代表它不真實。事實上遊戲開發商 Ubisoft 就邀請了卡巴斯基的專家做顧問,希望如實反映駭客的真實情況,換言之遊戲內的入侵是可行的。
早前訪港的卡巴斯基創辦人 Eugene Kaspersky 接受 Unwire.pro 專訪時表示,物聯網保安問題是可見未來的問題,但遺憾並未有太多消費者和廠商予以正視,對資訊保安廠商而言,很多情況下也只是乾著急,甚至是「無計可施」。
Eugene Kaspersky 表示,其實廣義上只要是連上網的裝置都是「物聯網」的一部分,這並不只限於家居、商業機構的層面,政府或官方機構的不同裝置,例如電力系統、水務系統、道路交通系統、櫃員機金融系統等都包括在內,因此物聯網的保安問題並非只是「你家中被偷拍」或是「商業機密被盜」那種層次的問題,而是可更嚴重的國防級問題。
當愈來愈多裝置能連上網路,就代表愈多機會被黑客入侵。Eugene Kaspersky 坦言如果業界和公眾並未意識到問題的嚴重性,即使卡巴斯基具備保護能力也沒意義的。卡巴斯基沒有一個防護罩保護所有人,如果業界和公眾都輕視問題的話,帶來的後果可以很嚴重。
家居物聯網成最大危機
物聯網領域可按使用環境、性質去分割,例如家居的和商用的、戶內的和戶外的、公眾的和私人的。Eugene Kaspersky 認為商業機構一般都有使用保安產品,只要意識到物聯網保安問題的話是不難解決的。他認為最大的問題來自家居消費者層面,而且也是卡巴斯基目前最為重視的。
除了大家熟知的電腦、平板和智能手機,智能電視、機頂盒、智能手錶等都是未來將很快普及的物聯網設備。Eugene Kaspersky 表示,卡巴斯基已為這些平台提供了保安方案,換言之問題在於消費者是否理解到有關問題的嚴重性,並主動安裝以獲得保護而已。
問題反而是來自其他設備。物聯網設備早已發展到智能雪櫃、電燈照明、空調系統,以至焗爐、咖啡機都會上網,但這些設備根本沒有一個讓一般消費者簡單安裝防毒軟件的操作介面,系統也不會內置了保安功能。Eugene Kaspersky 坦言如果廠商不主動配合的話,卡巴斯基幾乎不可能為這些設備提供支援。
除了上述家居設備外,還有 Google 自動車、汽車導航等戶外系統。Eugene Kaspersky 認為這些裝置同樣需要保護,而且應比家居設備更重視。像 Google 自動車這類設備是能引發交通意外等嚴重事故的,若被駭入的話可引致災難性後果,嚴重性不比交通指揮系統被駭入來得少。
保證產品安全責任在於廠商
Eugene Kaspersky 表示,卡巴斯基實驗室會預視互聯網的危機,並會按分析評估後的嚴重性和急切性來部署研發產品。他表示實驗室會為產品研發分開四種歸類:已看到即時問題的現有產品線、看到問題即將來臨而應對的試作產品(Prototype)、預視會可能成為危機而進行前期 R&D,與及評估認為不會是嚴重問題,不會研發產品。
像智能電視、智能手錶一類產品,卡巴斯基已推出了不同的方案協助消費者解決保安問題,至於其他家居產品由於太過分散,所以很難獨立抽出來討論,但如認為是有潛藏危機的市場,卡巴斯基都會考慮研發相關產品。但由於不是所有設備都容易自行安裝保安產品,因此 Eugene Kaspersky 認為關鍵還是在廠商上,如果他們意識到問題並向卡巴斯基接觸,他們很樂意提供配合。
Eugene Kaspersky 認為在物聯網時代,產品廠商有義務和責任搞好保安問題,不能獨善其身。由於未來可能每件家居產品都會上網,卡巴斯基不可能保證每一件產品都安全,保證產品安全的責任在於廠商身上,就像產品不會出現品質問題一樣。他表示卡巴斯基已接觸一些大品牌提供合作,但長遠仍要看一眾物聯網設備生產商是否正視問題,主動將保安功能放到產品之中。
難預估何時出現嚴重事故
問到預估甚麼時候會出現第一宗有關物聯網的重大保安事件,Eugene Kaspersky 坦言自己不是預言家,不能說出一個限期來。但他就肯定「這事一定會發生」。他認為不僅需要教育設備廠商正視保安問題,消費者以至政府機構同樣也是教育對象。
像一些中國的連網設備,近期就被發現有一些可疑的連線紀錄。Eugene Kaspersky 認為最安全的方法當然是不使用這些產品,未來也應該有一個生態環境配合,哪些品牌會內置了保安功能讓消費者安心選購。如果消費者自己沒意識安全問題而隨便使用危險的品牌,那自然是他們自己的責任。
Eugene Kaspersky 認為要教育公眾正視問題,這段路相當漫長,但也不能坐以待斃。雖然最有效令公眾識問題的方法,就是「出現第一宗嚴重意外」,但作為保安廠商是有責任在此之前為公眾提供保障,因此他們正積極跟廠商尋求合作。他認為未來物聯網設備將會像今天買電腦會送防毒軟件的試用品一樣,未來也會在這些設備上加入預載的保安軟件,他認為這是目前比較可行的解決方法。