因應(yīng)這兩年來疫情促成全球企業(yè)數(shù)位轉(zhuǎn)型腳步不斷加快,資安威脅變得更加詭譎難測。受駭者從政府、基礎(chǔ)建設(shè)擴及科技業(yè),就連傳產(chǎn)及電子代工產(chǎn)業(yè)亦無法幸免。加上駭客組織愈趨企業(yè)化,都讓企業(yè)內(nèi)部資安必須加大力道,擴及產(chǎn)業(yè)鏈上下游聯(lián)防,而不再以「工廠機器又不上網(wǎng)」來粉飾太平!
尤其是在最近《經(jīng)濟學人(The Economist)》雜志封面上,將臺灣列為「地表上最危險的地方(The dangerous place on Earth)」之後,除了再度引發(fā)政治、軍事、外交等熱議話題之外,最應(yīng)該重視的,還是由於近年來美中貿(mào)易及科技戰(zhàn)開打,導(dǎo)致全球供應(yīng)鏈重組等趨勢,才讓臺灣制造業(yè)的角色越來越吃重。
加上早從2020年開始,受到疫情影響加快數(shù)位化腳步,各種資通訊新興科技技術(shù)持續(xù)深入日常生活,同時促進AIoT應(yīng)用的普及,也帶來資安事件和挑戰(zhàn)頻增,資安防護范圍更為廣泛,已不再局限於單純的「資訊(IT)」領(lǐng)域,還包含了現(xiàn)場操作(OT)層面,成為現(xiàn)今全球管理階層最頭疼的問題。
根據(jù)Cybersecurity Venture研究,全球截至2021年因資訊安全事件已造成6兆美元的成本損失,僅次於美國和中國的世界第三大經(jīng)濟體。而近年伴隨著物聯(lián)網(wǎng)、AI技術(shù),帶動工業(yè)4.0、智慧制造的浪潮,工廠場域的資安風險也隨之升溫,尤其工業(yè)物聯(lián)網(wǎng)大量將IT與OT融合的布建下,促使受封閉式網(wǎng)路保護的OT端,大量暴露在網(wǎng)路威脅之下。因此,企業(yè)應(yīng)透過更完整由端到云的資安防護,以確保在資安環(huán)境數(shù)位轉(zhuǎn)型,免於資安威脅。
如最近發(fā)生美國燃油管線營運業(yè)者殖民管線公司(Colonial Pipeline)遭受駭客大肆攻擊事件,便導(dǎo)致全美最大的燃料輸送網(wǎng)路停擺,最後不得不支付了近500萬美元加密貨幣贖金,得到駭客提供的解鎖工具,才讓該公司受到癱瘓的電腦能重新使用。
| 圖1 : 由于近年來美中貿(mào)易及科技戰(zhàn)開打,導(dǎo)致全球供應(yīng)鏈重組等趨勢,才讓臺灣制造業(yè)的角色越來越吃重。圖為臺積電晶圓廠房。 (source:TSMC) |
|
駭客轉(zhuǎn)型企業(yè)化 中小企業(yè)亟須政府奧援
就連臺灣半導(dǎo)體、電子代工產(chǎn)業(yè)也無法幸免,2020~2021年陸續(xù)傳出仁寶、研華、鴻海、宏??受到REvil勒索軟體攻擊,最近的苦主則是蘋果公司(Apple)的PC和其他伺服器業(yè)者重要的組裝協(xié)力廠商廣達電腦,不僅遭竊取大量網(wǎng)路數(shù)據(jù)資料,并須以加密貨幣限時支付5000萬~1億美元。否則駭客就會在Apple新品發(fā)表會前,上網(wǎng)公布所有Apple加工設(shè)備的圖紙,以及員工和客戶的所有個人數(shù)據(jù),或?qū)⑦@些資料售予蘋果公司的競爭者。
既試圖勒索Apple買回產(chǎn)品藍圖,也可能會導(dǎo)致廣達遭客戶調(diào)整訂單量,使得該公司在第一時間便啟動資安防御機制,與多家外部資安公司技術(shù)專家合作處理,并將所監(jiān)測到的異常網(wǎng)路狀況,通報予政府執(zhí)法部門與資安單位。
| 圖2 : 近年來駭客組織逐漸企業(yè)化和分工細密,除了開發(fā)出更快加密及竊取資料的軟體,還為此發(fā)布新聞稿,提供下線所需工具包,事成後從贖金中支付一定比率給組織。(source:static.wixstatic.com) |
|
由此可見,近年來駭客組織逐漸企業(yè)化和分工細密,除了開發(fā)出更快加密及竊取資料的軟體,還為此發(fā)布新聞稿,邀請記者采訪;同時積極培訓「下線」,提供所需工具包,包含該組織開發(fā)的軟體、勒贖電郵范本和如何發(fā)動攻擊的教材,待每次網(wǎng)路攻擊事成後,就會從贖金中支付一定比率給組織。
臺灣電子設(shè)備協(xié)會(TEEIA)智慧制造促進會主委葉勝發(fā)便指出:「隨著臺灣制造業(yè)數(shù)位轉(zhuǎn)型腳步加快,最大資源除了石油之外就是資訊,也造成資安問題接踵而來,甚至還有更多廠商的資安事件秘而不宣,一場無煙硝的第三次世界大戰(zhàn)早已悄悄開打!」
如今駭客組織已不再像過去,僅單純植入釣魚軟體、木馬程式來竊取、加密受害者資料而已,還會進一步威脅公布、轉(zhuǎn)賣其客戶資料,以圖「雙重勒索」,同時獲利。中小企業(yè)的資安防護能力卻相當有限,所以葉勝發(fā)建議業(yè)者應(yīng)盡快盤點內(nèi)部資料是否安全,并細分機密等級,再決定該投資添購軟硬體或爭取外界政府、法人、IT廠商奧援。
產(chǎn)官法人齊力 落實「資安即國安」策略
政府也必須鼓勵廠商自主研發(fā)、深厚產(chǎn)業(yè)鏈結(jié)與提升資安技術(shù),才能在5+2產(chǎn)業(yè)創(chuàng)新的基礎(chǔ)上打造6大核心戰(zhàn)略產(chǎn)業(yè),讓「資安即國安」不只淪為一句囗號,還要讓資安產(chǎn)業(yè)的實力能被全球信賴。
經(jīng)濟部工業(yè)局近來便負責配合行政院「資安產(chǎn)業(yè)發(fā)展行動計畫(2018-2025)」全期程目標,促進臺灣資安產(chǎn)業(yè)規(guī)模逐年成長,以資安硬體和模組為大宗,資安服務(wù)次之,2020年產(chǎn)值達到新臺幣552億元,成長率11.9%,還高於全球2.8%,又以「資安營運管理服務(wù)」、「資料與云端應(yīng)用安全」和「資安檢測監(jiān)識顧問服務(wù)」成長最多,成長率分別為15.3%、14.5%和12.6%。
另為強化新興領(lǐng)域防護,為5G、半導(dǎo)體等技術(shù)導(dǎo)入資安技術(shù),并打造高階實戰(zhàn)場域等目標,包括成立資安攻防及跨國合作機構(gòu),和完善資安高教環(huán)境。經(jīng)過2021年政府加碼補助後,加上其他5大核心戰(zhàn)略產(chǎn)業(yè)和國/民營企業(yè),分別投資約20億元、83億元導(dǎo)入資安科技,預(yù)估2025年後產(chǎn)值可??上修到800億元。
工研院資通訊研究所??組長卓傳育指出,經(jīng)濟部工業(yè)局約從3~4前便提出SECPAAS平臺,共集結(jié)臺灣超過50家資安業(yè)者,提出80項解決方案,也藉此強化企業(yè)信任,讓資安業(yè)者進入內(nèi)部檢視,除了已先輔導(dǎo)臺灣5G、IoT智慧制造產(chǎn)業(yè)改善資安,2020年更開始針對臺灣面板、電子設(shè)備等先進制造業(yè)者引導(dǎo)投入主題式研發(fā)計畫,強化OT資安。
今年4月再針對供應(yīng)鏈資安,公布新一波主題式研發(fā)計畫,每家叁與的企業(yè)還要連帶上下游5家供應(yīng)協(xié)力廠商,從而了解彼此如何交換資料的過程及評量資安治理等級,確保不會出現(xiàn)漏洞。包含:資安成熟度,協(xié)助企業(yè)評估資安需求,并提供最經(jīng)濟、有效解決方案才會有感,同業(yè)也能比較彼此分數(shù)而良性競爭。勒索軟體監(jiān)識服務(wù),系基於企業(yè)現(xiàn)有資安團隊能力不足,在兼顧保護隱私的前提下,由公正第三方支援,提供先期監(jiān)識工作。等到7月臺南沙侖資安服務(wù)基地落成後,將就近服務(wù)中南部傳產(chǎn)業(yè)者。
在日前剛落幕的「CYBERSEC 2021臺灣資安大會」上,工業(yè)局再次主導(dǎo)成立「臺灣資安館」以展示更進階的資安場域防護成果,包含智慧交通資安、工控安全、5G資安、與智慧工廠資安等4大情境主題。
其中於「工控安全」主題區(qū),展示石油與天然氣2套工業(yè)控制模擬系統(tǒng),結(jié)合資安攻擊情境模擬廠區(qū)的運作流程及網(wǎng)路環(huán)境,未來還將提供從業(yè)人員測試環(huán)境,發(fā)展臺灣自主工控情境腳本及培訓工控資安專業(yè)人才;另外設(shè)有「空氣品質(zhì)微型感測裝置」場域?qū)嶒炇遥故竞细駱苏买炞C流程與實證案例,并提供設(shè)備商技術(shù)與諮詢服務(wù)。
「智慧工廠資安」主題區(qū),則主要展示工業(yè)局去年開始推動━智慧制造場域資安強化的合作案,以建立開放實測場域為核心,透過跨域結(jié)合智慧制造,發(fā)展臺灣自主資安解決方案。讓民眾及企業(yè)體驗智慧工廠在資安事件發(fā)生「事前、事中與事後」之應(yīng)變情境,協(xié)助企業(yè)降低遭受勒索病毒事件發(fā)生的風險,提升臺商回流投資的產(chǎn)線資訊安全!
| 圖3 : 經(jīng)濟部工業(yè)局針對「工控安全」主題展示工業(yè)控制模擬系統(tǒng),并結(jié)合資安攻擊情境模擬廠區(qū)的運作流程及網(wǎng)路、測試環(huán)境,發(fā)展臺灣自主工控情境腳本及培訓工控資安專業(yè)人才(攝影:陳念舜) |
|
制造業(yè)反求諸己 應(yīng)自主掌握OT資安能力
然而,多數(shù)企業(yè)常將資安關(guān)注焦點放在外部的駭客攻擊,而把資源大量投入鞏固防火墻,卻忽略了內(nèi)部資訊安全的重要性,讓有心人得以藉由內(nèi)網(wǎng)登入,輕易入侵企業(yè)內(nèi)部,竊取珍貴的商業(yè)機密,造成無法彌補的商業(yè)損失。
根據(jù)PMMI最新報告《2021 Cybersecurity: Assess Your Risk》指出,隨著數(shù)據(jù)收集的需求遽增,并擴散到加工和封裝,大多數(shù)公司都朝向工業(yè)物聯(lián)網(wǎng)(IIoT)制造模式發(fā)展。許多工廠都設(shè)立了感測器,以及監(jiān)控各處數(shù)據(jù)的零組件所形成的網(wǎng)路架構(gòu)。但因為單一零組件和感測器處理效能有限,往往缺乏內(nèi)建安全防護功能。
加上生產(chǎn)線為了提高效率,同樣也是高度整合,前端通常直接連到末端流程,而收集數(shù)據(jù)的感測器也互相連接形成范圍更廣的系統(tǒng)聯(lián)網(wǎng),若不仔細細分和監(jiān)控,單一漏洞可能很快就成為入侵公司網(wǎng)路的起點。因此,為了提高安全性,制造商如何掌握漏洞并加以解決,是最基本且重要的能力。
否則,從ERP管理、銷售協(xié)調(diào),再到即時專案協(xié)作,許多制造商已將云端和邊緣運算應(yīng)用於數(shù)據(jù)管理等處,雖然部署云端可以解決一部份網(wǎng)路安全問題,卻也會造成制造商過度依賴云端服務(wù)供應(yīng)商,缺乏從安全角度正確評估云端服務(wù)的知識。
趨勢科技揭密資安 屬於制程之一而非附加成本
趨勢科技也呼吁企業(yè)應(yīng)正視數(shù)位轉(zhuǎn)型所帶來的必要挑戰(zhàn),應(yīng)用系統(tǒng)與基礎(chǔ)架構(gòu)發(fā)生徹底改變。即除了因為大量關(guān)鍵設(shè)備連網(wǎng),導(dǎo)致IT與OT之間的界線愈趨模糊,大大提高駭客攻擊面;還有伴隨5G應(yīng)用興起的CT(Communication Technology)領(lǐng)域,都讓企業(yè)所面臨的資安管理議題加倍復(fù)雜,迫使企業(yè)不得不擴大資安戰(zhàn)線。特別是在全球供應(yīng)鏈扮演要角的臺灣智慧制造業(yè),尤應(yīng)重新審視資安政策,依據(jù)轉(zhuǎn)型階段目標部署完善的資安防護。
趨勢科技執(zhí)行長暨共同創(chuàng)辦人陳怡樺進一步表示,以往制造業(yè)可能認為自己含金量不高,沒有人要攻擊自己,但現(xiàn)實的狀況已今非昔比,除了遭受攻擊的事件頻傳,過去制造業(yè)的機臺可能被認為不是電腦,或安全隔離在網(wǎng)路之外。但她認為:「目前隨著業(yè)界導(dǎo)入大量IT技術(shù)而變得不同,才剛剛開始想到這些事情,距離能等到自覺并扭轉(zhuǎn)觀念,還有很長的路要走。」
如今,經(jīng)過現(xiàn)今數(shù)位轉(zhuǎn)型之後,已徹底轉(zhuǎn)變了傳統(tǒng)價值鏈模型,在於「從資料到?jīng)Q策」的轉(zhuǎn)換過程,更突顯資料安全的重要性,只要有資料的地方,就必須要有安全的考量,以免發(fā)生搜集不到、搜集了錯誤的資料,甚至資料被鎖住的情況,所以須在每個環(huán)節(jié)都做足資安措施。她特別舉智慧制造為例,包括從最初采集資料的正確性,直到打破谷倉進行資料連結(jié)整合及深度分析後,才能做出正確判斷,從而擬定有效策略,才能創(chuàng)造出商業(yè)價值。
陳怡樺嘗試以防疫措施比喻:「企業(yè)做數(shù)位轉(zhuǎn)型,資安的腳步也要跟上。」第一步要思考如何做好隔離,降低內(nèi)部系統(tǒng)遭感染機率;第二步要防護重要資產(chǎn),善用緊急修補(如虛擬補丁),以減少重癥發(fā)生機率;第三步要積極預(yù)防,例如更換新機臺時,優(yōu)先選用有良好資安防護系統(tǒng)的設(shè)備。」除此之外,資安的轉(zhuǎn)型也需要配合企業(yè)數(shù)位轉(zhuǎn)型不同階段的目標,進行完善的資安防護部署,才能在企業(yè)營運效率與數(shù)位化間取得平衡。
尤其如今臺灣更在全球制造業(yè)重組供應(yīng)鏈扮演要角,鎖定OT環(huán)境進行攻擊的勒索病毒卻日漸增多。趨勢科技??總經(jīng)理暨工業(yè)物聯(lián)網(wǎng)公司TXOneNetworks執(zhí)行長劉榮太指出,自從2019遭受勒索病毒事件發(fā)生的風險,提升臺商回流投資的產(chǎn)線資訊安全!
| 圖4 : 因應(yīng)OT環(huán)境棘手的威脅情勢,TXOneNetworks建議企業(yè)審慎規(guī)劃資安建設(shè),并時刻檢視既有的資安政策是否完備,仍為企業(yè)永續(xù)經(jīng)營關(guān)鍵要點之一。(source:TXOneNetworks) |
|
依趨勢科技觀察2020年127個新出現(xiàn)的勒索軟體中,前10名皆以鎖定感染OT、工業(yè)控制系統(tǒng)(ICS)為攻擊目標,其中就有8個曾在OT場域出現(xiàn)過,如此也反映出當OT環(huán)境采用大量IT技術(shù),同時加速了駭客對OT環(huán)境的危害,所承受的企業(yè)責任損失,已不只是單一產(chǎn)線停工而已。
劉榮太強調(diào):「企業(yè)唯有正視弱點,才能突破!」由於制造業(yè)供應(yīng)鏈上下游關(guān)系緊密,OT場域的機臺運作可謂牽一發(fā)動全身,系統(tǒng)可停機的時間極短;加上廠內(nèi)有數(shù)以百計或老舊且未更新的設(shè)備裝置,大多數(shù)情況下皆難以執(zhí)行漏洞修補與系統(tǒng)更新動作。倘若人員操作不當疏失,以及未采取適當?shù)木W(wǎng)路隔離與不安全的認證存取等因素,再再使得工業(yè)網(wǎng)路環(huán)境暴露在巨大風險中,讓制造業(yè)的資安管理與維護陷入困境。
「因應(yīng)OT環(huán)境棘手的威脅情勢,企業(yè)如何在營運不受干擾的情況下,打造有效的網(wǎng)路安全防護,將成為制造業(yè)提高生產(chǎn)力與資安營運效率的關(guān)鍵。」劉榮太表示,可預(yù)見2021年疫情仍將持續(xù)影響全球企業(yè)營運,工廠遠端操作需求不斷提升,讓駭客擁有更多可趁之機。因此審慎規(guī)劃資安建設(shè),并時刻檢視既有的資安政策是否完備,仍為企業(yè)永續(xù)經(jīng)營關(guān)鍵要點之一,才能在營運效率提升之馀,同時確保企業(yè)內(nèi)部的機密制程安全無虞。
由於工控環(huán)境的獨特需求,也使得企業(yè)很難找到既能保護工控環(huán)境,又能兼顧效能要求的資安防護。例如選用特徵掃瞄的防毒軟體雖然能偵測已知威脅,卻需要時時連網(wǎng)來更新病毒碼,非常不適合用於工控環(huán)境使用。而采用機器學習技術(shù)為基礎(chǔ)的進階解決方案,雖然能夠迅速偵測異常狀況與未知威脅,誤判情況卻經(jīng)常發(fā)生,徒增營運上的困擾。
至於應(yīng)用程式控管與系統(tǒng)鎖定型的解決方案雖然較為單純,且信任名單部署起來也較容易,卻可能使得機器設(shè)備的用途僵化受限,因此只適合用途固定不變的系統(tǒng)。這些單一面向的技術(shù)雖然可滿足特定用途的需求,卻無法提供工控生產(chǎn)環(huán)境所需的兼容性:既要確保資產(chǎn)設(shè)備安全無虞、又要維持生產(chǎn)線營運順暢。
陳怡樺強調(diào):「資安不再只是獨立一個產(chǎn)業(yè),而是所有產(chǎn)業(yè)里面該有的基本內(nèi)涵。對制造業(yè)而言,資安就是制程的一部分,千萬不能把它想成附加的成本。」畢竟臺灣約有30%GDP都來自於制造業(yè),臺積電同時撐起了全球數(shù)位轉(zhuǎn)型的半邊天,倘若能讓臺灣制造的所有元件與成品都能納入資安要素考量,也就有助於世界數(shù)位轉(zhuǎn)型更成功、安全。期待透過提升資安的價值,能讓臺灣產(chǎn)業(yè)的地位更穩(wěn)固,讓MIT成為全球產(chǎn)業(yè)可信賴的標志。
**刊頭照(攝影:陳念舜)
