物联网安全靠啥保障，美安全部一纸准则能起什么作用？

该准则要求业者在设计、生产物联网装置时应负起资讯安全责任，在设计阶段即考量安全问题，例如安全的作法、软体更新、漏洞管理及因应。

美国国土安全部（Department of Homeland Security，DHS）于本周二（11/15）发表了" 保护物联网策略准则"（Strategic Principles for Securing the Internet of Things）1.0版，呼吁物联网生态体系在设计、 生产及使用物联网装置与系统时皆应负起保障物联网（IoT） 安全的责任。

美国国土安全部长Jeh Johnson指出， 大众对连网技术的依赖程度已经超出了保护范围， 人们日益仰赖各种连网活动， 从自动驾驶车到供水与供电的控制系统， 都让物联网成为国土安全的重要议题， 此一准则将让设备制造商进行安全决策时有所依据。

该准则的要点包括在设计阶段就应考量安全问题、 改善安全更新与漏洞管理机制、建立可靠的安全作法、以安全为优先任务、推动IoT生态体系的透明化，以及谨慎连结等。 以督促业者从开发、生产、 导入及使用物联网等各阶段都能确保安全性。

此外，在本周一场有关IoT安全性的美国会公听会上， 也有一些安全专家呼吁政府应立法保障IoT安全。 专精于医疗照护网路安全的Virta Labs执行长Kevin Fu即说，现在IoT安全正处于一个令人感到难过的阶段， 因为生产及部署不安全IoT装置的业者几乎不需要负担任何责任。

哈佛大学网路生态研究中心Berkman Klein Center研究员Bruce Schneier则说， 让此一局面得以维持的原因是不管制造商或是消费者都不在乎IoT 的安全性，因此需要政府介入。 Schneier甚至提议政府应设立一个全新的机构来强制执行I oT法令。

缺乏安全与更新机制让IoT装置近来逐渐成为僵尸网路的主力， 例如根据Level 3威胁研究中心（Level 3 Threat Research Labs）的统计， Mirai僵尸病毒感染近50万台IoT装置， 而Bashlight僵尸病毒则感染超过96万台的IoT装置， 其中的Mirai更是今年9月及10月发动分散式阻断服务（ DDoS）攻击， 瘫痪KrebsOnSecurity资安部落格、攻击网站代管服务供应商OVH与美国网路效能管理公司Dyn旗下 DNS服务的元凶。