英國擬制定新法令規範IoT裝置安全性

• 發布日期：109-02-12
• 發布單位：刑事警察大隊

參考網站：
行政院國家資通安全會報技術服務中心 英國擬制定新法令規範IoT裝置安全性https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=16353
英國數位、文化、媒體暨體育部(Department for Digital, Culture, Media & Sport)部長Matt Warman於1/27宣布，英國政府準備制定新法令來改進物聯網(IoT)裝置資安標準，以降低這些裝置之資安威脅與被駭風險。根據估計，2025年全球包括電視、攝影機或家用助理等連網裝置數量將達到750億台；此外，今年英國每個家庭平均擁有15台智慧裝置。不僅是IoT裝置的龐大數量令英國政府擔憂，真正令人擔心的是這些裝置缺乏最基本的網路安全守則，例如英國政府於2018年所做的調查顯示，供應英國市場的331家IoT裝置製造商中，有超過90%缺乏漏洞揭露計畫；且IoT裝置被駭事件頻傳，很多僅僅是因為製造商未重視資安要求，如使用通用之預設帳號密碼於所有生產裝置上。

因此，新法令將確保所有在英國銷售的IoT裝置都符合三大資安需求，一是所有IoT裝置都必須具備獨一無二的密碼，而且無法重置成任何通用之出廠預設值；二是IoT裝置製造商必須提供一個公開窗口，讓所有人都能回報安全漏洞，而且該窗口也應即時採取行動；三是要求IoT裝置製造商必須明確揭露裝置之安全更新時程。Warman指出，新的法令將督促IoT裝置製造商及經銷商負起資安責任，阻止駭客威脅使用者之隱私與安全，也意味著業者在設計階段就應考量裝置之資安標準，而非事後才彌補。除英國以外，Warman也打算建立有關IoT安全性之國際共識，例如藉由歐洲電信標準協會(European Telecommunications Standards Institute, ETSI)支持，發展全球性產業標準，也與美國、加拿大、澳洲及紐西蘭取得IoT安全性共識，並在各自市場上推動。