無人機資安初階檢測11項必測 重系統、軟體、通訊安全
電信技術中心(TTC)今年1月4日公布我國首份《無人機資安保障規範》。TTC資通安全組副主任林家梁表示,檢測內容分為初、中、高3個安全等級,初階檢測包含11個必測項目,需1至2週時間,越高階所需時間越長;業者能提供相關檢測資料,也能使檢測流程加速完成。
林家梁指出,「無人機資安聯合驗測實驗室」原則上是公正的第三方,僅配合交通部民航局修法提供檢測量能,也不會介入輔導。在檢測方面,適用範圍包含無人機本體(UAV)、地面控制站(GCS)、交通管理系統(UTM)等3部分,多數廠商應該都是針對前2部分進行資安檢測;檢測內容則包含系統、軟體、通訊、韌體及晶片等五大項目。
在初階檢測中,僅涉及系統、軟體、通訊三大項共11個細項。林家梁說明,系統部分的首個項目為「身分識別」,是為了確認是否有基本的帳號密碼管控措施,以GCS為例,只要電腦進行管控即可,無須在控制軟體上再次管控;「身份權限」則是希望能區分不同使用者的存取權,若業者認為不適用,可提出適當的理由,若經評估風險確實不高,也可以進行調整。
至於「網路服務埠」檢測,林家梁表示,過去有很多物聯網裝置,被發現多開了好幾個用途不明的網路通道,這就有點嚴重,因此檢測時會進行掃描,確認是否與廠商的自我宣告相符、有無廠商自己不知道的通道;而「系統異常流量」是為了監控有無惡意程式,尤其是使用開源套件的無人機,許多物聯網裝置也都有此問題。
「酬載模組測試」則是針對無人機上搭載的其他設備,以網路攝影機為例,若該產品本身已通過相關資安檢測,廠商可提供近幾個月內的檢測報告,如經評估可直接引用,就不用再進一步測試。另有國際儀器大廠指出,有些地區或國家會透過干擾的方式把無人機直接拿下來,擷取敏感資料,因此希望廠商能對數據加密,以確保「數據儲存安全」。
此外,「GPS抗干擾能力」、「GPS強化能力」則分別屬於中階、高階檢測項目。林家梁說,原則上無人機突然收不到GPS訊號時,應該會有安全落地或自動返航的機制,以免直接從空中墜落,檢測時會直接發射干擾訊號覆蓋操控訊號,測試無人機的反應是否符合期待;另外也會發射200公里外的偽造GPS訊號,無人機若被欺騙就會偏離目標橫衝直撞。◇