勞動力減少、工資上漲、產品交期短、市場需求變動大等市場變化,製造業正面臨新一波轉型挑戰,智慧工廠成為全球製造業的顯學,以製造業數位轉型浪潮為主要核心的工業4.0趨勢席捲全球,在全球供應鏈扮演要角的台灣製造業更是首當其衝。
智慧製造價值鏈:「資料到決策」
全球網路資安解決方案領導廠商趨勢科技執行長暨共同創辦人陳怡樺點出,製造業數位轉型的價值,來自於「資料到決策」的轉移過程;從一開始的資料蒐集,打破公司內各個組織的資料穀倉,將資料串連在一起,再運用深度資料分析,從而制定出最有效的策略。
陳怡樺也不諱言,「有資料的地方,就會產生資訊安全的疑慮。」台灣製造業數位轉型加速,連以往覺得很少見的線上會議也成為日常,但不幸的是,駭客勒索行為也出現加倍的成長,根據趨勢統計,過去一年,網路釣魚(Phishing)詐騙式駭客入侵案件,全世界平均增加230%(*1),增幅相當驚人。
駭客攻擊新熱點:製造業、醫療保健業
其中,進一步分析發現,駭客攻擊熱點更從政府、銀行,轉往製造業及醫療保健業,當製造業的資安防護較居弱勢地位時,嗅覺敏銳的駭客馬上察覺到漏洞,進而加以攻擊。研調機構Gartner預測(*2),企業在2023年因為虛實整合系統遭受攻擊,造成的財務損失將超過500億美元,企業受資安攻擊衍伸的相關賠償、訴訟、保險、監管罰款,以及人為失誤所產生的責任損失將持續擴大。
台灣製造業產值占台灣GDP高達31.72%,不只對台灣舉足輕重,更撐起全世界數位轉型的半邊天。陳怡樺強調,「如果台灣半導體廠有一天停工,世界的數位轉型全都受到影響。因此,台灣製造的產品,尤其是資訊業界裡面所用的關鍵零組件和成品,都應該內建資安的元素,才能夠幫助全世界的數位轉型成功而且安全。」
製造業資安的完美風暴
「現在面臨的其實是一場針對製造業的完美風暴!」趨勢科技副總經理暨 TXOne Networks執行長劉榮太博士語重心長地表示,數位轉型帶動大量關鍵設備連網,IT 與 OT界線變得模糊,加上伴隨 5G 應用興起的 CT ( Communication Technology),讓駭客有機可乘,但製造業橫跨生產與資安領域的人才嚴重不足,三大挑戰讓製造業資訊安全雪上加霜。
劉榮太進一步說明,五年前的製造業大多是營運的操作型機台,彼此互不相連;但如今,從 ERP 接單,經由 MES 製造執行系統把數據傳給產線生產,IT 與 OT 打破藩籬彼此串連,當生產數據要回報給特定單位,OT 與雲端又接在一起了,「當 OT 採用大量的 IT 技術,對駭客來講就像回到家一樣熟悉。」根據趨勢歸納整理發現,去年發現的127 個新勒索病毒的前 10 名中,就有8個曾經出現在 OT 場域。
◾延伸閱讀: 勒索軟體對製造業網路的衝擊
駭客加速劫掠OT領域
當駭客加速對 OT 發動攻擊,反觀 OT卻還沒準備好迎戰,相關人才短缺與合適的資安防護產品不足,讓 OT 在這場攻防戰中屢遭挫敗。從2019年開始,每個月都有大型製造業公司或是產線遭到駭客入侵,光是在去年第四季,就有超過10家製造業遭到勒索病毒攻擊,對於台灣企業的影響不可輕忽。
根據趨勢訪問美、日、德共 500 家大客戶統計(*3)發現,高達61%的客戶曾經產生過資安的事件,其中又有75%的客戶,因為資安事件被迫中止產線,其中又有43%的客戶中止時間超過四天,工廠停工意味著稼動率、原料、當天營收等損失外,還有未來衍伸的賠償及訴訟支出,對廠商來說,損失的不只是商譽,更是實實在在的經濟損失。
OT 資安產品不足
駭客攻擊層出不窮,也凸顯了針對 OT 的資安產品的不足,根據趨勢統計,有59%的客戶表示他們沒有合適的資安產品,劉榮太指出,因為OT在設備、協作、環境及使用習慣均與IT大相徑庭,因此,過往針對IT所開發的資安產品,並不適用於OT場域。
首先,廠區的老舊機台無法負荷防毒軟體每日數次的更新,或是過多的偵測引擎,甚至連作業系統或防毒軟體都停止支援;其次是IT的防火牆只認識IT類的協定,加上OT多半位於較困難的環境,像是戶外可能是攝氏負20度或正60度,在火車上要考慮震動,在船上要考慮大浪造成的高低落差等。
另外則是使用習慣的漏洞,包括機台的外部維修人員,所使用的電腦及設備是否有毒,以及單一廠區或甚至跨廠區的大內網問題嚴重,一台機台就能無疆界的連接各個廠區,也將病毒快速擴散造成更嚴重的損失。
借鏡防疫 資安防護五大關鍵
因此,劉榮太也以台灣執行相當成功的防疫措施作為比喻,提出相對應的解決建議,首先,以「零信任原則」做好網路隔斷,同時搭配入侵檢測系統(IPS),以虛擬補丁的方式來做緊急修補,再建立信任名單,有效限縮個別機台的控制權限,同時強化像是資料庫等關鍵設備的資安防護,最後則是針對出廠的產品進行篩檢。
劉榮太也舉出三個實務上的例子來進一步說明,以半導體廠為例,半導體是一個很複雜的工廠,擁有許多關鍵設備,因此建議在重要機台前都部署能做到將產線網路隔離的IPS、機台設備上安裝應用程式白名單以限制只能執行受允許的程式,至於其他工作站或伺服器,則建議要安裝下一代智慧防毒軟體來減少中毒,最後入場的終端設備都要經過檢查。
再者,以水壩這樣大型基礎建設為例,現行的水壩閘門採用電控,可支援遠端控制,但如何確保控制權沒有落入駭客之手?趨勢建議,以工控網路通訊白名單機制強化 SCADA 安全,確保只有特定的設備、特定的時間能夠對水壩閘門做開關的動作。
最後,則是醫療院所,醫院其實與 OT 場域很像,也有很多老舊設備,像是X光機、MRI 掃描機等,光是護理站的電腦既可以上網,又連結到醫院設備,已經內外網路不分,形成可被駭客攻擊的漏洞,造成人命的損失。劉榮太強調,「萬物互連的世界,守護資訊安全的系統,其實就是守護人命與財產的安全。」
IT世界的資安防護已經發展超過二十年,歷經「辨識、保護、偵測、回擊、修復」五大階段,反觀OT世界才剛剛起步,劉榮太評估,目前僅走到保護的階段,未來也要做偵測、回擊與修復,所以要能夠對 OT 裝置的漏洞做偵測、做分析,同時配合5G等新技術提升,就是未來要走的路。
智慧製造關鍵一環:資安
趨勢科技除了在今年共同主辦的CYBERSEC 2021台灣資安大會中,發表前瞻性的觀察外,陳怡樺也清楚的宣示,未來的製造業必須要有明確的認知,資安不再是附加的成本支出,「資安就是製程的一部分」,它必須要跟隨著公司的架構,佈建到公司每一個資料搜集、連結與分析的地方。
因此,趨勢科技花了一整年的時間架構了「Vision One」的平台,橫跨每一個雲端與手機至網路再到工廠設備等裝置,以不影響運作的前提下進行資料蒐集,綜合分析偵測資料流向是否異常,以提早示警。
陳怡樺強調,台灣一向是全世界最可信賴的製造夥伴,如果能在台灣製造的產品上,從生產就完整做到最好的資安佈建,同時蓋上資安認證標誌,讓台灣製造與資訊安全產生加乘效果,勢必會成為未來「台灣製造」產品最強大的市場競爭優勢。
資料來源
1. 趨勢科技2020年度網路資安報告,www.trendmicro.com/zh_tw/security-intelligence/threat-report.html?modal=685acc
2. https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl
3. https://resources.trendmicro.com/Industrial-Cybersecurity-WP.html