随着人工智能技术的进步,智慧化(Intelligentization)已经成为21世纪最重要的主轴。而智能制造主要的核心技术便是物联网技术与虚实整合系统(Cyber-Physical System,CPS),再结合大数据分析、人工智能及云端运算等技术,将生产过程的每一个环节智慧化,藉此达到客制化的业务目标,以适应外部市场少量多样的需求。
而智能制造的主要实行方式便是以物联网作为架构基础,将之应用于制造产业,形成「工业物联网」(Industrial Internet of Things)体系。经布建后,信息安全弱点的分布率自然会开始上升,潜在威胁便更容易透过破口影响到工业物联网系统,使得整套系统即便仅有一小部分受到损毁也会影响整体系统的运作;若遭受到骇客入侵,甚至可以瘫痪整套生产系统,造成庞大的金额损失及商誉的损害。
建构阶段:IT与OT如何协作、高阶管理层的认知
工业物联网主要专注于M2M(Machine to Machine)、CPS、大数据以及机器学习等技术,也是IT(information Technology)与OT(Operational Technology)两大技术领域整合的开端。然而IT与OT本身各自早已具有数百种不同的协定与标准,加上物联网本身的复杂特性,将会造成网络安全的责任分配问题。且由于使用生命周期中涉及大量利益相关者,诸如元件供应商可能就有数十间不等,元件分别适用不同的规范或标准;设备又可能因分布在不同的地理位置而适用不同的法律约束,导致工业物联网产生在标准规范上难以统一、造成「技术碎片化」的问题,而这些标准该如何进行整合或协作,将会是首要面临的挑战。
再者,工业物联网是一项新颖技术,目前仍然在研发及测试阶段。针对过去已在OT场域工作数十年的技术人员该如何建立足够的工业物联网相关信息安全意识,选择合适的人员教育训练将会是另一项值得研究的课题。
伴随人员安全意识不足的问题,同样也涉及到公司制度层面。目前仍有许多企业对于资讯安全的议题不够重视,未来智能制造建构后伴随而来的风险将有别以往,然而企业的高阶管理层对于信息安全的认识不足,会是未来对工业物联网的一大挑战。因为进行信息安全防护工作较难以察觉甚至量化其效益值,且还需投入相当成本,故管理层容易忽视资讯安全这项要素,并不将信息安全的重要性与具业务价值的建设并列。
以上问题属建构阶段所面临的困难,建构的过程中如果没有针对这些问题做出适当的措施,将可能使系统未来承受巨大的信息安全风险。
成熟阶段:遭受攻击面向十分广泛
而建设成熟的工业物联网即便事先排除了上述困难,也不代表风险就此消失。在大量且丰富的资料流不断相互传输运作之下,一旦发生资料外泄或资料遭到恶意窜改,便会对工业物联网系统造成不良的连锁反应。且智能制造将会使虚拟与实体两个世界做出更紧密的连结,如物联网系统发生信息安全事件,对于实体世界的破坏也会相当显着。
骇客入侵
由于智能制造的环境会变得更为复杂多端,加上物联网系统本身的互联性,使得攻击面也将扩大许多。除了一些非人为的风险外,还须特别注意人为造成的威胁,其中骇客入侵便是一种典型的状况。不安全的连接端口、久未更新的元件、不完整的更新机制…等都会是骇客可能下手的破口。尤其传统的工业场域对于更新的接受度相当低落,因为一次更新所引起的停摆将会造成企业亏损,因此对于工业物联网来说,安全的更新会是一项重要的议题。
此外,网络通讯管道如果疏忽了信息安全防护,诸如分散式阻断服务攻击(Distributed Denial-of-Service attack,DDoS)、讯息窜改、窃听、植入恶意程式等网络攻击也会是骇客很可能使用的手法,这些攻击都会造成资产的严重破坏或是资料外泄。
老旧设备、软/硬体设计都可能存在「破口」
场域在转型的过程当中,一些老旧的设备、传统的工业系统也会是一项需要关注的信息安全弱点。在旧有系统的基础上构建新系统后,可能导致过时的保护措施仍然被使用,以及旧有系统中出现多年未被发现的未知漏洞,这可能使攻击者找到一种新的方式来危害系统。
最后,应用程式在开发和设计上如果没挹注安全开发的观念,软件上的漏洞也将是骇客入侵系统的大门。而硬体设备在设计中若没有将信息安全元素纳入,也会是攻击者入侵的破口。从以上种种示例可以得知,工业物联网可能遭受的攻击面十分广泛,且无论在工业物联网的哪一端进行破坏皆可能瘫痪整体系统,最后造成的损害甚至伤亡将难以估计。
重视信息安全智能制造将实现美好未来
随着日新月异,过去数十年间各企业戮力追赶地将资讯技术深入全球各大领域,却忽略长期稳定运作所须达成的安全要求,一次次重大信息安全事故的爆发已经证明,仅靠安装防护软件无法保证组织的安全以及生产系统的营运安全,必须全面考量信息安全的整体解决方案。
未来智能制造的建设架构将比现在大多数的生产架构都要来得更为错综复杂,然而水能载舟、亦能覆舟,一昧地追求创新所带来的营利和效果却忽略背后隐藏的巨大风险,那么信息安全威胁终会重蹈覆辙,成为一颗不定时炸弹,一但触发,损害势必更胜以往,智能制造所带来的裨益也将化为乌有。
若在危害发生以前便做好完善的信息安全管理措施及方案,且人员具备足够的信息安全意识,软、硬体设备皆在开发时便将信息安全要素纳入考量,那么智能制造将会是一纸美好的蓝图,也会是值得你我共同努力的未来。
(本文转自安防知识网台湾站)