建议及意见
多国积极推动物联网装置的网络安全
由于物联网产品愈来愈普及,不少国家已采取不同方式推动物联网装置的网络安全。
新加坡、德国、芬兰及美国等国家已推出物联网装置的网络安全标签认证计划,若装置的网络安全符合计划的要求,便可获得标签。部分国家亦已互相认可双方的标签计划。
欧盟已将网路及通讯安全的要求加入无线电设备指令(Radio Equipment Directive,简称RED),并将于2024年8月强制生效,规定制造商在产品的设计和生产上都必须符合ETSI EN 303 645及其他相关标准,英国亦正研究立法规管。本会建议香港政府可参考不同国家的做法,推出适合本港的相关计划或标准,从而推动本地物联网装置的网络安全。
教授意见
香港城市大学电子工程系副教授曾剑锋先生认为本会是次测试的部分家用监控镜头样本的网络安全问题较大,例如非授权服务器访问、不安全数据传输,不安全数据加密,对消费者构成的可能风险包括隐私泄露、手机数据泄露等。曾教授表示网络的资讯安全有3个重要元素,包括机密性(confidentiality)、完整性(integrity)及可用性(availability)。机密性指保护资讯免向未经授权人士披露;完整性指保护资讯免受未经授权人士更改;可用性则指让资讯可供已获授权人士在需要时取用。由于家用监控镜头的产品设计及应用程式均由生产商负责,故只能促请生产商改善产品的网络安全,而消费者只能倚赖生产商提高产品质素。曾教授指生产商可参考IEEE技术标准2668物联网装置的成熟指数,以改善产品的机密性、完整性及可用性。
此外,消费者可善用防火墙(firewall)及漏洞扫瞄(vulnerability scanning)等工具以改善网络安全,惟该等措施亦未能完全解决网络安全的漏洞。消费者使用物联网装置时,设定的密码要有足够的强度,并要小心保管帐户及密码,及避免让别人设定或操控个人的物联网装置。
