本文探討機器人控制系統(tǒng)的安全風險以及有效的安全措施,文中除了探討產(chǎn)業(yè)安全標準,並分析了遵循這些標準的關(guān)鍵要求。
工廠自動化是工業(yè)4.0的核心,包括工業(yè)機器人、自主式行動機器人(AMR)、以及協(xié)作式機器人等皆扮演關(guān)鍵角色,並共同促成業(yè)界實踐現(xiàn)代的工業(yè)4.0。如今的機器人變得越來越聰明,並具備更高的協(xié)作能力,不論在有人與無人操作的情況下都能執(zhí)行各種複雜任務。更高層級的自動化以及更廣泛地運用機器人,亦促成對機器人控制系統(tǒng)面臨著更高的物理維安,以及資安抗駭?shù)囊蟆?/span>
從機器人最初大多應用於工廠環(huán)境,發(fā)展至今已廣泛用在諸多不同領(lǐng)域,包括醫(yī)療、軍事、物流、以及農(nóng)業(yè)等。對於物理維安與資安抗駭?shù)男枨蠖裕朔矫娴闹匾赃h甚過於10年前。相關(guān)的應用場域中,各種意外都可能發(fā)生,其中,由惡意攻擊引發(fā)的事件尤其關(guān)鍵,惡意劫持與控制機器人都可能造成嚴重的經(jīng)濟與財務損失。
機器人控制系統(tǒng)的安全風險
圖一顯示典型的安全風險,可能引發(fā)對機器人控制系統(tǒng)的惡意攻擊。
表一所列舉的是與安全風險相關(guān)的疑慮及概述:
表一:安全風險的疑慮
|
缺乏
|
衝擊與描述
|
|
安全聯(lián)網(wǎng)
|
導致機器人控制系統(tǒng)之間的通訊變得不安全,且容易被偽冒、竄改、以及竊聽。同時也可能衝擊到系統(tǒng)的可用性
|
|
正確的驗證
|
- 導致惡意人士運用預設(shè)的使用者名稱與密碼進行未經(jīng)授權(quán)的存取
- 缺少設(shè)備與週邊的驗證,可能導致惡意人士使用偽冒的機器人系統(tǒng)週邊/配件,形成維安與資安方面的風險
- 亦會導致系統(tǒng)接受從不受信任的未辨識來源輸入的資料
|
|
機密性
|
缺少加密或弱防禦力的加密演算法,導致機器人機敏資料與設(shè)計計畫被攔截與外洩
|
|
完整性
|
導致儲存或傳輸中的機器人機敏資料、組態(tài)設(shè)定、以及韌體遭到竄改
|
|
安全開機與更新
|
- 若沒有這項功能,我們就無法確定目前運行在我們的機器人控制系統(tǒng)中的是否是真正的韌體/軟體
- 缺乏安全升級,可能導致惡意人士駭入機器人控制系統(tǒng),將軟體回退到存在漏洞的舊版軟體,或?qū)⑽唇?jīng)授權(quán)的軟體寫入機器人控制系統(tǒng)。
|
|
防竄改硬體
|
某些機器人儲存著高度機敏的資訊(像是軍事/國防領(lǐng)域所採用的機器人)。因此此類資訊需要被高度保護,以防被非授權(quán)人士存取。若沒有防竄改硬體,就非常難以保護資訊免於遭受侵入攻擊
|
|
安全設(shè)計原則
|
大多數(shù)控制系統(tǒng)的發(fā)展,直到最近都沒有採取安全設(shè)計原則。這導致了有心人士侵入進機器人系統(tǒng)的架構(gòu)與設(shè)計,進而掃描與濫用其漏洞以便發(fā)動攻擊
|
|
更新
|
機器人作業(yè)系統(tǒng)、韌體、以及軟體若是缺乏更新,可能導致各種網(wǎng)路物理攻擊
|
工業(yè)與機器人領(lǐng)域的規(guī)範與法律 促進資安韌性與保護運作
資安領(lǐng)域的面貌快速演變,越來越多的規(guī)範與法律也瞄準工業(yè)與機器人領(lǐng)域。其中一些針對資安抗駭?shù)姆桑ā稓W盟網(wǎng)路安全法》、《歐盟網(wǎng)路韌性法》以及《美國關(guān)鍵基礎(chǔ)設(shè)施資安事件通報法》。另外中國與印度也逐步制定相關(guān)的規(guī)範與法律。 美國國家標準與技術(shù)研究院(National Institute of Standards and Technology;NIST)的操作技術(shù)(OT)安全指南 ,以及如IEC 62443 此類標準提供方向,讓我們能採取安全設(shè)計(secure-by-design)的原則與設(shè)計,協(xié)助開發(fā)的控制系統(tǒng)能具備充分的韌性,得以抵禦各種網(wǎng)路攻擊。
IEC 62443制定 IACS 安全性規(guī)範
IEC 62443針對工業(yè)自動化與控制系統(tǒng)安全(Industrial Automation and Control Systems Security;IACS)制定了安全性規(guī)範。此為一項各界廣泛採納的標準,用以開發(fā)工業(yè)自動化控制系統(tǒng),大多數(shù)的法律和規(guī)範也都建議遵循這項標準,並認可其在保障安全方面的重要性,讓我們能夠遵循相關(guān)規(guī)範、紓解控制系統(tǒng)中的潛在資安風險、補救控制系統(tǒng)中的安全缺口、保護關(guān)鍵資產(chǎn)、以及提供其他更多的益處。
雖然IEC標準中有一些部分是專注規(guī)範過程與程序,不過IEC 62443-4-1和IEC 62443-4-2則是專門針對組件安全而制定。根據(jù)IEC 62443-4-2的規(guī)範,零組件的種類包含了軟體程式、主機裝置、嵌入式裝置、以及網(wǎng)路裝置。這些標準根據(jù)每種零組件必須達到的零組件要求(CR)和增強要求(RE)來為每種零組件類型規(guī)範功能安全等級(SL)。其定義了從SL0到SL3的安全等級(SL)。其中SL2與SL3特別要求硬體層面的安全防護。
開發(fā)機器人安全系統(tǒng)不可或缺的功能與技術(shù)
要建構(gòu)安全的機器人控制系統(tǒng),我們需要解決機器人控制系統(tǒng)安全的各項風險。此方面需要的關(guān)鍵功能與技術(shù)包括:
u 安全驗證:匯整各項安全驗證機制,檢驗裝置/零組件的身份
u 安全協(xié)同處理器:運用專屬硬體執(zhí)行安全儲存與加密作業(yè)
u 安全通訊:建置加密協(xié)定,保護資料交換的程序
u 存取控制:實施細分的權(quán)限,用以限制未經(jīng)授權(quán)的系統(tǒng)存取動作
u 實體安全措施:整合各項措施,藉以防止物理竄改
全套輸出式安全IC,像是安全驗證晶片與協(xié)同處理器,為了因應這些需求量身打造的方案,能簡化建置流程與節(jié)省成本。這些固定功能IC背後有完備的軟體堆疊作為輔助,這些軟體是針對主機處理器所設(shè)計。
運用分立式安全元件可以提高系統(tǒng)韌性,防止已被入侵的應用處理器去存取儲存在獨立IC(隔離)內(nèi)的權(quán)證。
除了這些方面之外,系統(tǒng)開發(fā)者必須採取結(jié)構(gòu)化的方法來保護開發(fā)程序,包括收集各項需求、建立與分析威脅模型、安全設(shè)計、實施、測試、認證、以及維護等方面。依循安全開發(fā)生命週期(SDL)可確保從一開始安全即融入到開發(fā)程序之中。
ADI不僅是供應晶片等整套輸出式安全IC的廠商,藉由整合安全與機器人方面的專業(yè)技術(shù),已蛻變成一個理想的解決方案供應商,能夠克服在維護機器人系統(tǒng)方面衍生的各種獨特挑戰(zhàn)。讓客戶能夠建構(gòu)出全方位的解決方案,兼顧硬體、軟體、以及系統(tǒng)層級的設(shè)計考量。
ADI認識到機器人系統(tǒng)的安全需要全面覆蓋的設(shè)計,因此決定跳脫出零組件層級的方案,採取系統(tǒng)層級的視野角度。我們衡量了各種因素,包括硬體、軟體、通訊、以及整合,確保所有關(guān)鍵零組件都無縫地整合。
ADI與汽車產(chǎn)業(yè)的合作,展現(xiàn)在無線電池管理系統(tǒng)(wBMS)的成果上,並反映在建構(gòu)強韌安全措施上的諸多卓越能力。ADI藉由與客戶緊密合作,成功開發(fā)出一套完全維安與抗駭?shù)腎SO 21434認證wBMS系統(tǒng)。鼓勵機器人產(chǎn)業(yè)進行類似的合作,就能促成客戶運用ADI在安全實作方面的專業(yè)。藉由和相關(guān)產(chǎn)業(yè)夥伴的緊密結(jié)盟,ADI得以持續(xù)發(fā)展兼顧物理維安與數(shù)據(jù)資安的機器人系統(tǒng),引進從汽車產(chǎn)業(yè)所累積的經(jīng)驗與成功戰(zhàn)績。
機器人關(guān)節(jié)控制器的使用情境範例
圖三顯示在機器人關(guān)節(jié)中,機器人關(guān)節(jié)控制系統(tǒng)的系統(tǒng)設(shè)計。
| 圖三 : MAXQ1065在機器人聯(lián)合控制系統(tǒng)中的潛在應用 |
|
在這項設(shè)計中,MAXQ1065的潛在應用變得顯而易見,因為它能促成安全開機功能,進而提升系統(tǒng)的整體安全。此外,MAXQ1065本身還具備諸多額外功能,例如安全密鑰儲存、安全通訊協(xié)定、以及譯密作業(yè)等。後續(xù)的專文將深入探討這些應用情境,以及探討其實際應用。
總結(jié)
在維護未來機器人的安全方面,資安扮演十分重要的角色。包括安全驗證、加密通訊、供應鏈防駭?shù)葟婍g措施,皆是防範各種威脅極為關(guān)鍵的環(huán)結(jié)。藉由優(yōu)先維護資安以及運用ADI的專業(yè),不僅能夠充分發(fā)揮機器人的潛能,還能夠防範在互連世界中各種新浮現(xiàn)的風險。
(本文作者Manoj Rajashekaraiah為ADI首席工程師)
