企業打造智慧工廠需要投入相當大的精力。一開始還要先了解它們獨特的地方及它們所能提供的新優勢。而現實上,還必須要認識智慧工廠融合了虛擬和實體環境後所可能出現的風險和威脅。
跟許多整合工業物聯網(IIoT)的系統一樣,智慧工廠融合了資訊技術(IT)和操作技術(OT)來做到即時監控、互操作性和虛擬化等功能。但這也代表了受攻擊面的擴大。更重要的一點是,融合環境內的網路威脅能夠直接對現實造成影響。
因此,IIoT的安全性對於建立和運作智慧工廠有著相當重要的作用。但應該要如何去做?想回答這個問題就必須先了解打造IIoT安全性的各個模塊。
架構
推薦的智慧工廠資安架構
對應資料
智慧工廠的運作是由資料所驅動。智慧工廠所使用的大量資料包括了儲存的原物料數量、機器的生產速度、派送的地點以及其他更多(取決於各產業)。大數據讓智慧工廠能夠描繪出實體運作的虛擬景象,用來執行預測結果和做出自主決策等功能。
企業應該要為必需的大量資料做好準備,識別要使用的資料類型並對應到各個程序(從收集和轉移到處理和儲存)。對應也代表要紀錄所有可能的出口和進入點。比方說,工作人員可以用USB隨身碟等外部儲存設備將資料從辦公室移動到工廠。終端機也可能會進出工廠來進行服務。除了替處理此類場景的工作人員制定安全協定外,還應該利用工具來確保這些可移動設備在連接或重新連接工廠系統前乾淨且沒有病毒。
保護網路和各種通訊管道
資料也會透過連接智慧工廠的網路來進行通訊。在網路和雲端部署對的網路安全措施有助於防止設備發生漏洞攻擊、阻斷服務(DoS)攻擊、惡意軟體感染及其他資安事件。可以的話也應該要更新未直接連接工廠的內部IT系統,這樣能夠減少可能的攻擊入口。監控網路也有助於及早發現可疑行為。
注意工廠內使用的各個通訊管道,包括工業控制系統(ICS)及其他設備相關的通訊管道,這有助於確認可能會讓資料暴露的區域。知道有哪些類型的資料會經由這些管道傳輸也能夠去識別出哪些管道需要更嚴格的安全防護。企業可以部署強大的防火牆、加密、身份驗證和入侵偵測等技術來保護其遠端存取控制或其他各種外部通訊功能。這些作法有助於防止駭客進行中間人(MITM)攻擊和資料竊取。
保護設備
就像工廠內的每項設備對整體生產都很重要一樣,每項設備對智慧工廠的安全性也很重要。在工廠內架設設備時必須經過精心規劃,移除不必要的功能、連線和資料收集項目。這讓設備能夠以更高的精度運行並減少遭遇入侵和資料竊取的可能性。
另一件重要的事情是,漏洞對連線設備來說始終是個問題。在選擇設備時也必須要先研究可能的漏洞。而且一旦工廠投入運作,定期更新修補也必須列入維修計畫的一部分。
除了這些以外,也不要忽略每個設備的實體安全防護。未經授權就能夠存取設備可能會讓網路受到入侵,就像受入侵網路可能導致設備故障一樣。
假設已經遭受入侵並儘量減少損害
在智慧工廠的環境裡,假設已經遭受入侵並計劃對策能夠最大程度地減少遭受入侵所造成的損害。企業應該制定標準程序來警告、控制和消除可能入侵初始防禦的攻擊。例如,ICS有一項控制技術是使用網路分段,將設備依據功能的敏感性和關鍵性分組為階層式結構;這能夠防止惡意軟體馬上就擴散到更敏感和關鍵的設備。
維護安全
安全性應該列入智慧工廠的週期性維修計畫。還必經定期進行維護來確保工廠內各組件都安裝了最新的修補程式或韌體更新。因為智慧工廠融合了IT和OT系統,使用Connected Threat Defense這樣的多層次安全防護作法能夠讓安全解決方案跨越網路、端點和雲端來共享資料並保護這些融合系統的每個組件。
公司人員這方面也扮演著重要角色。因為工作人員會直接存取資料和機器,所以必須會同IT和OT部門來仔細制定關於正確處理設備和系統的標準操作程序(SOP)和政策。讓工作人員參與其工作環境的安全防護有助於建立和維持一致的安全級別,不僅只是在工廠,而是橫跨整個企業。
從設計階段開始
這些安全建議的目的是要深入內嵌在智慧工廠的架構中。這是因為安全性必須要儘早考慮 – 從設計階段開始,特別是智慧工廠。
畢竟脆弱的防禦會讓企業原本想從建立智慧工廠所得到的好處很快就被駭客所打破。本來是想能夠快速地生產優良的產品,但是當智慧工廠不夠安全時,企業就可能不得不去應對未偵測缺漏所帶來的威脅和風險,反過來造成代價昂貴的產品召回。或者是沒有預測到和預防工廠意外事件,反而讓未被偵測到的攻擊造成了意外事故。
在建造過程後期或甚至智慧工廠已經開始運行後才來部署安全措施可能意味著必須改變工作程序,更換昂貴設備以及其他的不良後果。因此,安全性應該被視為必要的組成部分,而不僅僅只是附件。