工業物聯網面臨的信息安全挑戰
隨着人工智能技術的進步,智慧化(Intelligentization)已經成為21世紀最重要的科技主軸。而智能製造主要的核心技術便是物聯網技術與虛實整合系統(Cyber-Physical System,CPS),再結合大數據分析、人工智能及雲端運算等技術,將生產過程的每一個環節智慧化,藉此達到客製化的業務目標,以適應外部市場少量多樣的需求。
而智能製造的主要實行方式便是以物聯網作為架構基礎,將之應用於製造產業,形成「工業物聯網」(Industrial Internet of Things)體系。經布建後,信息安全弱點的分佈率自然會開始上升,潛在威脅便更容易透過破口影響到工業物聯網系統,使得整套系統即便僅有一小部分受到損毀也會影響整體系統的運作;若遭受到駭客入侵,甚至可以癱瘓整套生產系統,造成龐大的金額損失及商譽的損害。
建構階段:IT與OT如何協作、高階管理層的認知
工業物聯網主要專注於M2M(Machine to Machine)、CPS、大數據以及機器學習等技術,也是IT(Information Technology)與OT(Operational Technology)兩大技術領域整合的開端。然而IT與OT本身各自早已具有數百種不同的協定與標準,加上物聯網本身的複雜特性,將會造成網絡安全的責任分配問題。且由於使用生命週期中涉及大量利益相關者,諸如元件供應商可能就有數十間不等,元件分別適用不同的規範或標準;設備又可能因分佈在不同的地理位置而適用不同的法律約束,導致工業物聯網產生在標準規範上難以統一、造成「技術碎片化」的問題,而這些標準該如何進行整合或協作,將會是首要面臨的挑戰。
再者,工業物聯網是一項新穎技術,目前仍然在研發及測試階段。針對過去已在OT場域工作數十年的技術人員該如何建立足夠的工業物聯網相關信息安全意識,選擇合適的人員教育訓練將會是另一項值得研究的課題。
伴隨人員安全意識不足的問題,同樣也涉及到公司制度層面。目前仍有許多企業對於資訊安全的議題不夠重視,未來智能製造建構後伴隨而來的風險將有別以往,然而企業的高階管理層對於信息安全的認識不足,會是未來對工業物聯網的一大挑戰。因為進行信息安全防護工作較難以察覺甚至量化其效益值,且還需投入相當成本,故管理層容易忽視資訊安全這項要素,並不將信息安全的重要性與具業務價值的建設並列。
以上問題屬建構階段所面臨的困難,建構的過程中如果沒有針對這些問題做出適當的措施,將可能使系統未來承受巨大的信息安全風險。
成熟階段:遭受攻擊面向十分廣泛
而建設成熟的工業物聯網即便事先排除了上述困難,也不代表風險就此消失。在大量且豐富的資料流不斷相互傳輸運作之下,一旦發生資料外泄或資料遭到惡意竄改,便會對工業物聯網系統造成不良的連鎖反應。且智能製造將會使虛擬與實體兩個世界做出更緊密的連結,如物聯網系統發生信息安全事件,對於實體世界的破壞也會相當顯着。
駭客入侵
由於智能製造的環境會變得更為複雜多端,加上物聯網系統本身的互聯性,使得攻擊面也將擴大許多。除了一些非人為的風險外,還須特別注意人為造成的威脅,其中駭客入侵便是一種典型的狀況。不安全的連接端口、久未更新的元件、不完整的更新機制…等都會是駭客可能下手的破口。尤其傳統的工業場域對於更新的接受度相當低落,因為一次更新所引起的停擺將會造成企業虧損,因此對於工業物聯網來説,安全的更新會是一項重要的議題。
此外,網絡通訊管道如果疏忽了信息安全防護,諸如分散式阻斷服務攻擊(Distributed Denial-of-Service attack,DDoS)、訊息竄改、竊聽、植入惡意程式等網絡攻擊也會是駭客很可能使用的手法,這些攻擊都會造成資產的嚴重破壞或是資料外泄。
老舊設備、軟/硬體設計都可能存在「破口」
場域在轉型的過程當中,一些老舊的設備、傳統的工業系統也會是一項需要關注的信息安全弱點。在舊有系統的基礎上構建新系統後,可能導致過時的保護措施仍然被使用,以及舊有系統中出現多年未被發現的未知漏洞,這可能使攻擊者找到一種新的方式來危害系統。
最後,應用程式在開發和設計上如果沒挹注安全開發的觀念,軟件上的漏洞也將是駭客入侵系統的大門。而硬體設備在設計中若沒有將信息安全元素納入,也會是攻擊者入侵的破口。從以上種種示例可以得知,工業物聯網可能遭受的攻擊面十分廣泛,且無論在工業物聯網的哪一端進行破壞皆可能癱瘓整體系統,最後造成的損害甚至傷亡將難以估計。
重視信息安全智能製造將實現美好未來
隨着科技日新月異,過去數十年間各企業戮力追趕地將資訊技術深入全球各大領域,卻忽略長期穩定運作所須達成的安全要求,一次次重大信息安全事故的爆發已經證明,僅靠安裝防護軟件無法保證組織的安全以及生產系統的營運安全,必須全面考量信息安全的整體解決方案。
未來智能製造的建設架構將比現在大多數的生產架構都要來得更為錯綜複雜,然而水能載舟、亦能覆舟,一昧地追求創新科技所帶來的營利和效果卻忽略背後隱藏的巨大風險,那麼信息安全威脅終會重蹈覆轍,成為一顆不定時炸彈,一但觸發,損害勢必更勝以往,智能製造所帶來的裨益也將化為烏有。
若在危害發生以前便做好完善的信息安全管理措施及方案,且人員具備足夠的信息安全意識,軟、硬體設備皆在開發時便將信息安全要素納入考量,那麼智能製造將會是一紙美好的藍圖,也會是值得你我共同努力的未來。