【國家任務】IoT生產商注意 安全法規準備上馬

IoT（Internet of Things, 物聯網）可以話係現時其中一個網絡安全嘅大敵，因為生產商大多數認為要賺錢嘅話，出嘢一定要快、功能要多同易用，至於網絡安唔安全？呢啲問題真係可以遲啲先算。產品對象為企業客戶嘅都可能講究啲，但做一般用家生意真係睬你都傻啦！明嘅，不過嚟緊就唔可以咁 hea 喇，事關唔少國家都準備為規管 IoT 產品而立法，最快仲要明年一月就有規管添！

根據網絡安全產品供應商 F-Secure Labs 嘅統計數字顯示，IoT 漏洞主要有兩方面，一係弱登入驗證，二係無提供更新檔修補漏洞。前者嘅問題係好多產品推出時可能唔使用密碼嚟配對，但出廠預設嘅登入名及密碼一式一樣，最出名嘅就當然係「admin」同「0000」之類嘅組合啦。只要用家買咗返嚟又懶得改，黑客就好易破解進入。另外，有產品出廠時根本無諗過會提供漏洞修補，所以即使被發現有漏洞，廠方都唔會理，甚至連更新渠道都欠奉，除非廠方回收，否則用家只可以決定用或唔用。

禁用相同出廠密碼

不過，呢啲情況將會有改變，美國加州喺 2018 年通過及 2020 年 1 月 1 日正式生效嘅嘅 SB-327 Information Privacy：Connected Devices 條文，就對 IoT 產品作出規管，限制生產商必須為每部產品設定獨一嘅登入密碼，減少被黑客大規模攻擊嘅風險。雖然法案喺其他方面嘅限制唔多，但至少都針對咗其中一個最重要嘅漏洞。

除咗美國，英國及澳洲亦就 IoT 產品推出生產守則，建議生產商必須就 13 方面去減少安全漏洞。當中有三方面更被視為最重要嘅守則，分別係：1. 唔使用相同密碼；2. 加入漏洞公布政策，當收到舉報後要作出即時回應； 3. 提供檔案更新，等用家有方法堵塞漏洞。雖然未成為法例，但澳洲政府有意將守則喺下年三月進行公眾諮詢。其實生產商就算無法例規管，都要重視網絡安全問題，因為如果成日被發現有漏洞，商譽都會大受打擊，做幾多關公工作都無用。

資料來源：https://bit.ly/33doQkJ、https://bit.ly/37x4BSi