本APNIC文摘原標題為The Internet of Trash,由APNIC首席科學家Geoff Huston撰文。

美國的《物聯網網路安全改善法》(IoT Cybersecurity Improvement Act of 2020)於去年12月正式立法,法案要求國家標準暨技術研究院(National Institute of Standards and Technology,NIST)與其他機關單位合作,建立管理安全弱點、修補漏洞,以及設定身份管理等裝置使用安全守則。

本文作者APNIC首席科學家Geoff Huston以美國的法案為起點,從頭檢視物聯網如何逐漸淪為「廢物」聯網(Internet of Trash),這個可能未來將造成的問題,以及我們應如何設法解決這些難題。

我們的世界正以驚人的速度數位化,而無限增長的連網裝置是推進數位化的重要動力之一。目前估計全球網路使用者將達到46億人,連網裝置數量則將超過300億。

不僅是裝置本身,裝置搭載的服務和功能其實都包含在「物聯網」中。從汽車、電視、居家保全系統、天氣站、視訊鏡頭、攝影機、空調系統、延長線、燈泡到門鈴,都可能是物聯網的一環。不僅一般消費者個人使用或居家環境,工作場所、醫院、工廠、農場,以及各種運輸設施和設備,也都在數位化的進程中,被納入無所不在的物聯網。

在這廣袤的物聯網裡,某些裝置在消費者心目中,廠商理應負起「售後服務」的責任,如定期更新、發布修補漏洞版本等。如iOS、Android都會定期更新,利用這些作業系統平臺的應用程式也都會定期或不定時更新。

然而,物聯網中有另一大部份使用電池、比較不「智慧」的裝置。隨著技術進步,業者開始把半導體放進過去沒想過的產品裡,但這些裝置有了電腦運算能力後,壽命也從原本的15年減至5年左右。根本問題在於「可充電電池」和「高性能」在尺寸有限的智慧型裝置中兩難全,研發人員最後也只能雙手一攤,告訴你若電池沒電,裝置就不再「智慧」。

這一類型的裝置,業者往往在售出產品後就銀貨兩訖,版本更新、修補漏洞等責任都全權落在消費者身上。但是,對消費者而言,只要我的相機還能照相、印表機還正常運作,我何必管什麼版本更新或安全漏洞?

當然,對網路安全有些認識的讀者就能了解,問題不在於相機或印表機是否「智慧」。問題在這些連網裝置內建的運算功能可能有弱點,而這些弱點一旦遭惡意人士發現利用,印表機很可能在一派正常、忠實列印所有文件的同時,成為駭客的攻擊跳板、工具,甚至淪為大規模網路攻擊的幫凶。2016年由Mirai變種殭屍網路主導、癱瘓美國部份地區網路的大規模DDoS攻擊就是不敢或忘的慘痛教訓。

當然,「裝置未更新導致重大網路安全威脅」的責任,難以清楚地歸在消費者或業者的頭上。裝置未能或難以更新有各式各樣的原因,有些硬體意外的體質硬朗,可以順利運作超過30年,業者推出更新版本的年限該有多久?難道裝置都已停產還得繼續更新韌體嗎?更別說有些產品可能活得比出產廠商還久,這種情況下又該由誰負擔維修責任?

這或許也是美國政府推出法令的原因。然而,姑且先不論國家司法管轄權和商品全球流通性之間存在巨大落差的問題,單一政府的立法規範,是否真有辦法解決這些問題?

對業者而言,在產品停售後還持續版本更新已實屬難得,雖然理想的最長年限可能達到停售後7年,但連Apple都沒有這種耐心。iOS 10於2016年底推出,2019年7月就是最後一次版本更新了。Android的情形更糟糕,因為他們將更新的責任轉嫁至裝置廠商身上,連行動網路業者都必須負擔部分更新。結果是物聯網中使用Android系統的裝置,可說是幾乎或完全沒有安全保障。

由於缺乏明確規範,業者提供版本更新的年限完全依各自方便行事,越來越多人傾向比照電池裝置的作法,一方面縮短裝置的使用年限,一方面無所不用其極地誘使消費者每年汰換裝置,直接躲掉軟體更新的麻煩。然而,這造成另一個更大的問題——電子垃圾數量持續激增,物聯網淪為「廢物」聯網。

我們無法假裝視而不見「廢物」聯網的問題,但光是「誰」該負責解決這個問題,就又是另一個眾人爭執不休的難題。作者批評過去科技產業奉為圭臬、臉書創辦人馬克.祖克伯「快速行動、破除窠臼」(move fast, break things)的名言。若奉行此原則的結果是整個業界持續不負責任地製造大量短命的連網裝置,作者認為,這已可視為產業性的集體犯罪性疏忽。

最後作者作結,「廢物」聯網是科技產業市場失靈的結果,若業界持續缺乏矯正此類陋習的意志,則除了政府介入別無他法。

*台灣網路資訊中心(TWNIC)與亞太網路資訊中心(APNIC)合作,定期精選APNIC Blog文章翻譯摘要,提供中心部落格讀者了解目前亞太地區網路發展之最新趨勢。原文標題為The Internet of Trash

圖片來源:APNIC

Leave a Comment

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

Scroll to Top