本網站使用cookies以改善您的使用體驗,並提供更優質的客製化內容。若您未改變cookies設定並繼續瀏覽我們的網站(點擊隱私權政策以獲得更多資訊),或點擊繼續瀏覽按鈕,代表您同意我們的隱私權政策及cookies的使用。
工控安全
18.May.2020
工業物聯網時代來臨 智慧製造將面對的資安挑戰與機會
隨著人工智慧技術的進步,智慧化(intelligentization)已經成為21世紀最重要的科技主軸。而智慧製造主要的核心技術便是物聯網技術與虛實整合系統 (Cyber-Physical System,CPS),再結合大數據分析、人工智慧及雲端運算等技術,將生產過程的每一個環節智慧化,藉此達到客製化的業務目標,以適應外部市場少量多樣的需求。
過去的製造概念是追求生產自動化,並以SOP(Standard Operation Procedure)標準作業流程大量生產公版化的產品。而智慧製造概念則不然,為因應消費族群的購物觀念變動,可快速地客製化生產的製造方式逐漸受到擁戴,這是工業4.0當中相當重要的核心概念。未來的智慧工廠將並不單指工業技術的提升,而是整合了技術、銷售以及產品體驗等,使得製造、販售、物流、售後服務等商業概念連為一體,最終建構出一個具有感知意識的智慧世界,而「需求客製化」將是智慧製造所追求的主要目標之一。
過去的製造概念是追求生產自動化,並以SOP(Standard Operation Procedure)標準作業流程大量生產公版化的產品。而智慧製造概念則不然,為因應消費族群的購物觀念變動,可快速地客製化生產的製造方式逐漸受到擁戴,這是工業4.0當中相當重要的核心概念。未來的智慧工廠將並不單指工業技術的提升,而是整合了技術、銷售以及產品體驗等,使得製造、販售、物流、售後服務等商業概念連為一體,最終建構出一個具有感知意識的智慧世界,而「需求客製化」將是智慧製造所追求的主要目標之一。
快速、客製化的生產方式是工業4.0的核心概念
除了需求客製化外,結合大數據分析的智慧製造甚至可以透過巨量數據來分析出市場的走向、天氣預測、原物料的數量與庫存、運輸的進程及瑕疵改善等,藉此精準拿捏生產量或調度現有資源、減少多餘成本與浪費,以此達到生產最佳化。[1]
工業4.0的來臨,使得世界各國紛紛祭出政策。工業革命的發源地英國早在2008年便提出「高價值製造戰略」,鼓勵英國本土企業製造更多世界級的高附加價值產品。2013年更提出「英國工業2050年戰略」,為英國在2050年以前的製造業打造一份方針,其中的核心概念便以高度客製化、快速響應消費者需求為主。
同樣曾是工業大國的美國也不落人後,2011年聯邦政府開始啟動「先進製造夥伴聯盟」(AMP,Advanced Manufacturing Partnership)政策,同樣也是因應舊有製造業概念的不適用所提出的計畫,更於2014年提出AMP 2.0,強調具體實施對策。其中先進製造的核心重點在於,希望藉由智慧製造帶來的新商業模式,使得設立於國外的廠商可以開始回流。同樣的概念也在法國綻開,就在德國正式發表工業4.0報告後,法國政府也發表了「工業新法國」的計畫,主要目的與美國相似。
除了上述老牌工業強國外,日本也提出了諸如「產業重振計畫」、「日本工業4.1J」、「社會5.0」等政策。而中國身為21世紀的製造大國,在2015年則提出了為期十年的「中國製造2025」計畫。金磚四國之一的印度同樣跟上工業4.0的潮流,祭出「印度製造計畫」以重整印度的經商環境以及製造產業的問題。[2]
當世界各國紛紛為工業4.0的降臨開始著手研究未來製造業的模型時,臺灣也於2015年研擬出「行政院生產力4.0發展方案」,並於同年度第四季開始執行,預計至2024年暫告一段落,至此展開長達八年的計畫。生產力4.0也注意到了智慧製造的趨勢,為了呼應未來工業4.0的生產模式,除了在技術面上結合智慧機械、大數據分析以及物聯網之外,也在產業面的部份增加了智慧物流、跨領域整合及產業結構優化等元素,並挹注4.0人才培訓,使臺灣在慧製造的領域能擁有足夠的人才庫。以上各種國內外的政策,皆屬摸索智慧製造架構的進程。[3]
智慧製造伴隨而來的安全問題
然而在研擬與建構的過程中,隨著系統結構的複雜度提升,資安風險也伴隨而來。在融合物聯網、大數據、雲端運算及人工智慧等技術後的場域,將會擴增出大量的資料流空間,而智慧製造的主要實行方式,便是以物聯網作為架構基礎,將之應用於製造產業,形成「工業物聯網」(Industrial Internet of Things)體系。經布建後,資安弱點的分布率自然會開始上升,潛在威脅便更容易透過破口影響到工業物聯網系統,使得整套系統即便僅有一小部分受到損毀,也會影響整體系統的運作;若遭受到駭客入侵,甚至可以癱瘓整套生產系統,造成龐大的金額損失及商譽的損害。
目前與智慧製造相關的國際標準規範有國際自動化學會(International Society of Automation,ISA)與國際電工委員會(International Electrotechnical Commission,IEC)頒布的ISA/IEC 62443系列標準,針對工業化自動控制系統(Industrial Automation Control System,IACS)的政策與流程面、系統安全面、元件開發面制定相關規範與指南。美國國家標準暨技術研究院(National Institute of Standards and Technology,NIST)也頒布了NIST.SP.800-82,為SCADA(Supervisory Control And Data Acquisition)、DCS(Distributed Control System)、PLC(Programmable Logic Controller)等工業控制系統揭櫫了相關的安全指南,除了這項指導手冊外,還有諸如NIST.IR.8200、NIST.IR.8228等規範都已發布。而歐盟網路資訊安全局(European Union Agency for Cybersecurity,ENISA)也針對物聯網與網路安全出版許多相關指導建議以及標準。
在臺灣,經濟部工業局參考了各國際規範後,也擬定了智慧機械的安全要求,並計畫進一步擬定資安成熟度評估方法。雖然對於智慧製造所伴隨而來的資安問題已受到一定程度的關注,然而過多標準相互制定的結果,反而可能造成智慧製造在建構上的困難,甚至因為標準的不一致而在後續產生其他的資安風險。這也勢必會是建構智慧製造必須考量到的一項要素。
目前與智慧製造相關的國際標準規範有國際自動化學會(International Society of Automation,ISA)與國際電工委員會(International Electrotechnical Commission,IEC)頒布的ISA/IEC 62443系列標準,針對工業化自動控制系統(Industrial Automation Control System,IACS)的政策與流程面、系統安全面、元件開發面制定相關規範與指南。美國國家標準暨技術研究院(National Institute of Standards and Technology,NIST)也頒布了NIST.SP.800-82,為SCADA(Supervisory Control And Data Acquisition)、DCS(Distributed Control System)、PLC(Programmable Logic Controller)等工業控制系統揭櫫了相關的安全指南,除了這項指導手冊外,還有諸如NIST.IR.8200、NIST.IR.8228等規範都已發布。而歐盟網路資訊安全局(European Union Agency for Cybersecurity,ENISA)也針對物聯網與網路安全出版許多相關指導建議以及標準。
在臺灣,經濟部工業局參考了各國際規範後,也擬定了智慧機械的安全要求,並計畫進一步擬定資安成熟度評估方法。雖然對於智慧製造所伴隨而來的資安問題已受到一定程度的關注,然而過多標準相互制定的結果,反而可能造成智慧製造在建構上的困難,甚至因為標準的不一致而在後續產生其他的資安風險。這也勢必會是建構智慧製造必須考量到的一項要素。
工業物聯網面臨的資安問題與挑戰
工業物聯網主要專注於M2M(Machine to Machine)、CPS、大數據以及機器學習等技術,也是IT(Information Technology)與OT(Operational Technology)兩大技術領域整合的開端。然而IT與OT本身各自早已具有數百種不同的協定與標準,加上物聯網本身的複雜特性,將會造成網路安全的責任分配問題。且由於使用生命週期中涉及大量利益相關者,諸如元件供應商可能就有數十間不等,元件分別適用不同的規範或標準,設備又可能因分布在不同的地理位置而適用不同的法律約束,導致工業物聯網產生在標準規範上難以統一,造成「技術碎片化」之問題,而這些標準該如何進行整合或協作,將會是首要面臨的挑戰。[4]
再者,工業物聯網是一項新穎技術,目前仍然在研發及測試階段,針對過去已在OT場域工作數十年的技術人員該如何建立足夠的工業物聯網相關資安意識,挹注合適的人員教育訓練將會是另一項值得研究的課題。
伴隨人員安全意識不足的問題,同樣也涉及到公司制度層面。目前仍有許多企業對於資訊安全的議題不夠重視,未來智慧製造建構後伴隨而來的風險將有別以往,然而企業的高階管理層對於資安的認識不足,會是未來對工業物聯網的一大挑戰。因為進行資安防護工作較難以察覺甚至量化其效益值,且還需投入相當成本,故管理層容易忽視資訊安全這項要素,並不將資安的重要性與具業務價值的建設並列。這樣的弊端並不是因工業4.0的發展而出現的,而是一個陳舊問題。
再者,工業物聯網是一項新穎技術,目前仍然在研發及測試階段,針對過去已在OT場域工作數十年的技術人員該如何建立足夠的工業物聯網相關資安意識,挹注合適的人員教育訓練將會是另一項值得研究的課題。
伴隨人員安全意識不足的問題,同樣也涉及到公司制度層面。目前仍有許多企業對於資訊安全的議題不夠重視,未來智慧製造建構後伴隨而來的風險將有別以往,然而企業的高階管理層對於資安的認識不足,會是未來對工業物聯網的一大挑戰。因為進行資安防護工作較難以察覺甚至量化其效益值,且還需投入相當成本,故管理層容易忽視資訊安全這項要素,並不將資安的重要性與具業務價值的建設並列。這樣的弊端並不是因工業4.0的發展而出現的,而是一個陳舊問題。
對資安的認識不足會是未來工業物聯網的一大挑戰
以上問題屬建構階段所面臨的困難,建構的過程中如果沒有針對這些問題做出適當的措施,將可能使系統未來承受巨大的資安風險。
而建置成熟的工業物聯網即便事先排除了上述困難,也不代表風險就此消失。在大量且豐富的資料流不斷相互傳輸運作之下,一旦發生資料外洩,抑或資料遭到惡意竄改,便會對工業物聯網系統造成不良的連鎖反應。且智慧製造將會使虛擬與實體兩個世界做出更緊密的連結,如物聯網系統發生資安事件,對於實體世界的破壞也會相當顯著。
由於智慧製造的環境會變得更為複雜多端,加上物聯網系統本身的互聯性,使得攻擊面也將擴大許多,除了一些非人為的風險外,還須特別注意人為造成的威脅,其中駭客入侵便是一種典型的狀況。不安全的連接端口、久未更新的元件、不完整的更新機制等,都會是駭客可能下手的破口。尤其傳統的工業場域對於更新的接受度相當低落,因為一次更新所引起的停擺將會造成企業虧損,是故對於工業物聯網來說,安全的更新會是一項重要的議題。
此外,網路通訊管道如果疏忽了資安防護,諸如分散式阻斷服務攻擊(Distributed Denial-of-Service attack,DDoS)、訊息竄改、竊聽、植入惡意程式等網路攻擊也會是駭客很可能使用的手法,這些攻擊都會造成資產的嚴重破壞或是資料外洩。
場域在轉型的過程當中,一些老舊的設備、傳統的工業系統也會是一項需要關注的資安弱點,在舊有系統的基礎上構建新系統後,可能導致過時的保護措施仍然被使用,以及舊有系統中出現多年未被發現的未知漏洞,這可能使攻擊者找到一種新的方式來危害系統。[5]
最後,應用程式在開發和設計上如果沒挹注安全開發的觀念,軟體上的漏洞也將是駭客入侵系統的大門。而硬體設備在設計中若沒有將資安元素納入,也會是攻擊者入侵的破口。從以上種種示例可以得知,工業物聯網可能遭受的攻擊面十分廣泛,且無論在工業物聯網的哪一端進行破壞皆可能癱瘓整體系統,最後造成的損害甚至傷亡將難以估計。[6]
工業物聯網資安解決方案
針對智慧製造未來將會面臨的種種資安問題,安華聯網具有深度的資安問題解決能力,是臺灣第一個具備工業控制系統、連網設備及物聯網滲透測試與資安研究能力的團隊。已贏得許多國際獎項,包括2020 Cybersecurity Excellence Awards(網路安全卓越獎)中的6項金獎與1項銀獎、亞洲最佳資安公司金獎等,開發的資安產品也獲多國專利及國際認可。
安華聯網是取得7個資安檢測項目的ISO 17025認可實驗室、亞洲第一個美國CTIA授權的資安實驗室,也是Amazon Alexa授權的資安檢測實驗室;目前已發現超過40個全球首發的安全漏洞(CVE),且具備物聯網設備、智能電網、車聯網、嵌入式系統、行動App、ICS和SCADA設備的資安檢測技術。
安華聯網是取得7個資安檢測項目的ISO 17025認可實驗室、亞洲第一個美國CTIA授權的資安實驗室,也是Amazon Alexa授權的資安檢測實驗室;目前已發現超過40個全球首發的安全漏洞(CVE),且具備物聯網設備、智能電網、車聯網、嵌入式系統、行動App、ICS和SCADA設備的資安檢測技術。
對於工業物聯網硬體設備可能會出現的資安弱點,安華聯網所提供的解決方案包括:
- 工控產品或系統的軟、硬體資安檢測服務,同時提供軟體安全開發諮詢服務,協助廠商具備軟體安全開發能量,滿足業界與客戶對於軟硬體之資安要求,諸如網通產品、行動裝置、安控、智慧家電、智能汽車及物聯網等連網產品皆適用。
- 自主研發的產品資安管理系統「HERCULES SecFlow」、弱點檢測自動化工具「HERCULES SecDevice」,則是提供連網產品於設計、開發、測試及部署階段的合規自動化安全評估工具,符合IEC 62443、OWASP TOP 10 與 CWE/SANS TOP 25 等安全要求,並適用於PLC、ICS、SCADA等智慧製造相關之工控元件。
- 以及IEC 62443、ISO 27001等顧問諮詢服務一站式的資安解決方案,安華聯網也擁有完整的合規相關服務,能協助廠商快速取得國際標準之證書,以增加客戶的信賴度及企業商譽。另提供專業的資安教育訓練,幫助技術人員建立與工業物聯網相關的資安意識,以因應未來智慧製造的建置以及工業4.0時代的來臨。
自2020年將會是物聯網技術開始全面進行布建。隨著科技日新月異,人們的生活也變得越來越便利。也因科技所帶來的效益,過去數十年間各企業戮力追趕地將資訊技術深入全球各大領域,卻忽略長期穩定運作所須達成的安全要求,一次次重大資安事故的爆發已經證明,僅靠安裝防護軟體無法保證組織的安全以及生產系統的營運安全。
未來智慧製造的建置架構將比現在大多數的生產架構都要來得更為錯綜複雜,然而水能載舟、亦能覆舟,一昧地追求創新科技所帶來的營利和效果,卻忽略背後隱藏的巨大風險,那麼資安威脅終會重蹈覆轍,成為一顆不定時炸彈,一但觸發,損害勢必更勝以往,智慧製造所帶來的裨益也將化為烏有。
若在危害發生以前便做好完善的資安管理措施及方案,且人員具備足夠的資安意識,軟硬體設備皆在開發時便將資安要素納入考量,那麼智慧製造將會是一紙美好的藍圖,也會是值得你我共同努力的未來。
媒體報導
參考資料:
[1] 天下雜誌,〈工業4.0-58秒的競爭〉,2016.07。閱於2020.04.08。網址:http://topic.cw.com.tw/2016industry4.0/article.html.
[2] 李國維,〈工業4.0(一):簡單看懂工業4.0〉,2016.08。閱於2020.04.10。網址:https://scitechvista.nat.gov.tw/c/skZM.htm.
[3] 行政院,〈行政院生產力4.0發展方案〉,2015.09。閱於2020.04.10。網址:http://class.nchu.edu.tw/bulletin/MOE/105_MoE_re_allr.pdf.
[4] ENISA,“Industry 4.0 - Cybersecurity Challenges and Recommendations”,2019.05。
[5] ENISA,“Good Practices for Security of Internets of Things”,2018.11。
[6] Trend Micro Inc.“The IoT Attack Surface: Threats and Security Solutions”,2019.05。閱於2020.04.15。網址:https://www.trendmicro.com/vinfo/us/security/news/internet-of-things/the-iot-attack-surface-threats-and-security-solutions.