近年來全球資安事件層出不窮,促使國際社會間資安意識不斷提升,各界對於如何達成整體資安的共同強化,也逐漸凝聚共識。勤業眾信聯合會計師事務所今(2)日與Nemko攜手舉辦「Nemko & Deloitte網路資訊安全」研討會,分享當前國際上物聯網(IoT)與無線產品的資安法規以及趨勢。
|
勤業眾信今(2)日與Nemko攜手,舉辦Nemko & Deloitte網路資訊安全研討會。 |
勤業眾信指出,現今國際上已陸續發布適用於不同產品或應用領域等各項資安相關標準與要求,就物聯網與無線產品而言,因其互連的特性與對資料傳輸的需求,使得這些產品的網路資訊安全,更是持續受到日漸嚴峻的考驗。
經過取得國際主流資安標準的認證,可協助廠商建立完善的資安風險管理系統與制度,藉此有效掌握資安風險,並提升投資人與客戶信心。此外,廠商應加速將安全開發整合至產品生命週期,以確保產品從開發、建造、維護到退役的各階段資安都能獲得保障。
勤業眾信聯合會計師事務所風險諮詢服務執行副總經理簡宏偉進一步表示,未來企業在設計並推出物聯網設備時,是否有將資訊安全需求納入開發規畫,避免相關設備成為駭客入侵企業網路的入口,將成為未來必須正視的課題。
面對快速更新的駭客攻擊手法,企業在積極著手將安全開發系統化地融入產品開發週期時,持續接收最新的威脅情資與國際資安趨勢也是重要一環,藉以確保產品的網路資安能跟上市場要求,讓安全開發所帶來的實質效益達到最大化。
進而依據其產品/應用類別、在供應鏈中所扮演的角色等面向,選擇適用的國際資安標準,作為實施資安風險管理的指引,協助企業掌握資安風險,同時展示企業對資安強化的決心。例如工控系統即可參考被國際廣泛採納和認可的網路安全標準ISA/IEC 62443,於4-1條文制定了產品開發生命週期的安全要求,確保產品在整個生命週期中的安全性符合預期風險。
勤業眾信則具備豐富的IEC 62443輔導能力及物聯網設備檢測能力,實績案例包括網路通訊設備、網路攝影機、行動裝置、醫療器材等設備,可協助企業進行全方位的產品安全開發輔導、安全制度導入以及物聯網設備安全檢測等服務。
此外,因應歐盟委員會(EC)於2021年10月29日宣布採用「無線電設備指令(RED)」的委託法規以對特定無線設備類別新增網路安全要求(見第3.3條的d、e、f項),藉此強化網路安全、個資保護與隱私,其中包括可透過網際網路溝通的裝置、玩具與孩童照護(Childcare)設備及穿戴裝置等,涵蓋了多數物聯網與無線裝置。
Nemko聯廣驗證資深經理路龍輝表示,這項委託法規將於2024年8月1日生效後,屆時在歐盟市場所銷售符合上述類別的無線設備,都須符合新的網路安全要求。雖然新措施尚未落地,但考量到將這些資安要求完整納入既有產品可能不易、以及新產品開發往往需要數月甚至數年的時間,無線產品廠商應及早採取行動,包括採用歐盟委員會所發布符合RED要求的調和標準(Harmonised standards),並將新的網路安全要求確實納入未來產品開發考量 。