【2018工博会专辑】工业物联网“后盾” 企业与工厂资安威胁与防护策略

日前，台积电传出电脑病毒感染事件，导致部分生产机台与设备宕机，受影响范围遍及台积电各厂区。消息一出引发制造业极大震撼，制造业标杆企业，竟然也在资安管理上“栽跟头”。更引起各界对工业互联网资讯安全的高度重视。

[本文来自：www.ii77.com]

制造业借鉴台积电工厂病毒扩散事件

此次事件中，企业调查是“新机台在安装软件的过程中操作失误”，在未完成病毒扫描侦测的作业前，让新机台连网上线，以致发生WannaCry变种病毒扩散，造成了大规模设备停工，预估损失近1.7亿美元。

如果，素来以管理精实着称的台积电，都会发生生产机台病毒感染事件，显见在资安防护工作上，即便建立了密不透风、滴水不漏的资安高墙，却仍然会有百密一疏之处。对于一般管理不够严谨、资讯防护资源欠缺，或者中小型企业来说，或许就更难以防堵病毒的恶意侵入了。

事实上，愈先进的厂房，使用的设备自动化程度愈高，系统也愈复杂。而高度自动化的设备，意外停机所遭受的影响與损失也会愈大。

从台积电的案例中，我们不难理解，在物联网应用强调Machine to Machine（M2M）设备连网、系统高度连动的自动化环境下，若是遭受了病毒或黑客的攻击，那么，影响范围和营运损失，恐怕是企业难以承受之重。

因此，在工厂逐步迈向工业物联网（IIoT）全面连线生产环境下，企业对资讯防护的作为中，已不单纯只是资讯人员的工作。从生产管理到资讯管理、甚至行销、财务、总务等所有部门，从上到下的全体员工，都必须透过管理制度、观念学习、制度规范等等手段，推动IIoT资讯安全的正确观念，规范SOP行动标准，以共同抵御来自四面八方的资安漏洞和可能威胁。

工业物联网时代 制造业提筑资安防火墙

PC时代，电脑病毒的出现，多是愤世嫉俗的玩家用来证明自己的破坏能力；随着Internet的出现，有心人士将黑客当成..工具；到了物联网时代，企业及工厂的生产制造设备陆续连上云端，物联网设备目前的资安防护技术尚未完备，众多的设备、闸道连结节点又可能存在许多未发现的漏洞，加上制造业相对缺乏资安保护意识与措施，企业和工厂仿佛就像一台忘了设定安全机制的提款机，随时可能被黑客索求。

Gartner预测，到2020年时，全球使用中的连网物件数量将达到204亿个，硬件总支出金额预计将达3兆美元。GSMA智库 (GSMA Intelligence) 预估，2025年全球的工业物联网设备连接数量，将达到138亿个，而工业物联网在工厂的应用产值，预计可达3.7兆美元，而大中华地区的连接数约为41亿个，约占全球工业市场的三分之一。对黑客而言，可见有多大的“资安商机”在其中。

目前许多导入工业物联网的公司并未落实资安防护策略，主要是因为营运科技（Operation Technology；OT）与资讯科技（Information Technology；IT）的连结过程之间，因为二者标准协定的落差，造成整合上的困难，而这也是影响工厂数字转型的主要因素。

OT与IT原本各司其职，而工业物联网则促成了OT与IT环境走向融合互通，但因二者的本质、架构、协调标准并不相同，因此在融合过程中，现有针对IT系统设计的资安产品，已无法为工业物联网的资安需求提供有效的防护。

而资安问题会成为制造业的高度风险，除了企业不了解工业物联网潜藏威胁的严重性，以及OT与IT整合系统的防护技术尚不成熟外，还有第三个原因，就是缺乏资安执行计划。

传统工厂中的一些连网设备，例如机器手臂，过去少有资安事件问题发生；而机器手臂的核心操作系统，很多是使用模组化的开源程式码（Open Source）进行开发，模块设计时并未考量资安防护，当跟其他装置连结时，沟通界面就可能产生安全漏洞。

据统计预测，企业在物联网资安投资部分，随着威胁的不断升级，全球资安市场规模未来有上看千亿美元的潜力。Gartner最新统计，2018年全球在资讯安全产品及服务支出的费用将超过1,140亿美元，较2017年增加12.4%；预计2019年市场将持续成长8.7%，达1,240亿美元。

IIOT入侵管道的知己知彼

在IoT时代，万物联网背后的意义就是，愈来愈多装置都会具备IP位置，都拥有连网能力，以办公室为例，举凡个人电脑、智能手机、网路印表机、网路摄像头、网路电话、印表机、乃至照明系统、打卡钟…，皆可能成为黑客入侵的入口，进一步扩散病毒。

而在工厂生产线部分，像是自动控制工具机、工业网路设备、数据采集分析（SCADA）系统、物联网感测端点／传输节点…也都可能遭受侵入。

此外，在员工个人的网路安全行为部份，像是个人资通讯设备的使用（包括手机、笔电和US盘等）、网路钓鱼、DDoS攻击、Wi-Fi钓鱼式攻击，也是黑客常用的攻击手法。

举例来说，发生在封闭场域环境的台积电病毒事件，发生的主因是因为新机台安装软件的过程中，未做好防毒隔离措施，因此可能经由U盘导致病毒感染。

2016年，NweWorldHacker黑客组织使用Mirai病毒感染了美国东部10万部监控摄影机，对DNS服务供应商Dyn发动DDoS攻击，让许多网站停止服务，影响了近半个美国Internet。

2015年发生的乌克兰大停电，起因是黑客对电厂员工进行网路钓鱼，取得员工登入权，从远端登入电厂系统后截断电力，且更改密码、关闭电话系统，让员工无法登入重启系统、也无法互相联络。

2014年发生在德国钢铁厂的资安事件中，黑客骇入钢铁厂的工作网路中，取得鼓风炉控制权，造成巨大的损失；2010年伊朗核电厂发生Stuxnet蠕虫感染事件，黑客借由视窗作业系统的Ink捷径档嵌入恶意程式，对西门子的自动化生产控制系统进行攻击，所幸未对当时即将上线运作的核能发电系统造成影响。

黑客攻击企业、工厂的案例不胜枚举，因此企业除了必须注意网路防护，重视实体装置与内部设备行为的防护，还要作好员工上网的观念教育与行为规范，尽速建立从内到外的完整资安防御网。

此外，设备制造商、基础设施供应商亦应寻借助专业资安业者的协助，共同定义资安威胁的属性与来源，强化网路架构设计，推出符合物联网环境的防火墙解决方案。经由多方的共同努力和重视，有效降低工业物联网的资安风险。

巩固工业物联网资安 企业制胜之道