建議及意見
多國積極推動物聯網裝置的網絡安全
由於物聯網產品愈來愈普及,不少國家已採取不同方式推動物聯網裝置的網絡安全。
新加坡、德國、芬蘭及美國等國家已推出物聯網裝置的網絡安全標籤認證計劃,若裝置的網絡安全符合計劃的要求,便可獲得標籤。部分國家亦已互相認可雙方的標籤計劃。
歐盟已將網路及通訊安全的要求加入無線電設備指令(Radio Equipment Directive,簡稱RED),並將於2024年8月強制生效,規定製造商在產品的設計和生產上都必須符合ETSI EN 303 645及其他相關標準,英國亦正研究立法規管。本會建議香港政府可參考不同國家的做法,推出適合本港的相關計劃或標準,從而推動本地物聯網裝置的網絡安全。
教授意見
香港城市大學電子工程系副教授曾劍鋒先生認為本會是次測試的部分家用監控鏡頭樣本的網絡安全問題較大,例如非授權服務器訪問、不安全數據傳輸,不安全數據加密,對消費者構成的可能風險包括隱私洩露、手機數據洩露等。曾教授表示網絡的資訊安全有3個重要元素,包括機密性(confidentiality)、完整性(integrity)及可用性(availability)。機密性指保護資訊免向未經授權人士披露;完整性指保護資訊免受未經授權人士更改;可用性則指讓資訊可供已獲授權人士在需要時取用。由於家用監控鏡頭的產品設計及應用程式均由生產商負責,故只能促請生產商改善產品的網絡安全,而消費者只能倚賴生產商提高產品質素。曾教授指生產商可參考IEEE技術標準2668物聯網裝置的成熟指數,以改善產品的機密性、完整性及可用性。
此外,消費者可善用防火牆(firewall)及漏洞掃瞄(vulnerability scanning)等工具以改善網絡安全,惟該等措施亦未能完全解決網絡安全的漏洞。消費者使用物聯網裝置時,設定的密碼要有足夠的強度,並要小心保管帳戶及密碼,及避免讓別人設定或操控個人的物聯網裝置。