在物聯(lián)網(wǎng)概念的帶動下,連網(wǎng)逐漸成為嵌入式系統(tǒng)的重要功能,尤其是製造、交通等過去較為封閉的場域,現(xiàn)在都需要與IT系統(tǒng)整合,讓資訊可以被進一步利用,創(chuàng)造出更多價值,不過這也讓OT系統(tǒng)產(chǎn)生以往少有的資安問題,因此在智慧化時代,讓嵌入式系統(tǒng)的效能與安全得以兼具,就成為系統(tǒng)設(shè)計者必須嚴(yán)正面對的問題。
| 圖1 : 網(wǎng)路攻擊已成為嵌入式系統(tǒng)業(yè)者必須嚴(yán)正面對的問題。(source:DFLabs) |
|
觀察這幾年的發(fā)展,包括工業(yè)領(lǐng)域在內(nèi)的各種製造系統(tǒng)、醫(yī)療產(chǎn)業(yè)的行動醫(yī)療車與電子藥櫃、金融機構(gòu)的匯款系統(tǒng)、ATM…等嵌入式設(shè)備,都因連網(wǎng)成為必要功能,成為駭客的攻擊目標(biāo),金融業(yè)方面,2016年7月第一銀行爆發(fā)ATM盜領(lǐng)案後,2017年10月遠東銀行國際匯款交易系統(tǒng)又遭駭客製造假交易,醫(yī)療領(lǐng)域則是最近的事情,2019年9月臺灣醫(yī)療院所發(fā)生勒索軟體攻擊的情事,共有22家醫(yī)院受到勒索病毒影響,部分醫(yī)院主機被駭客當(dāng)成跳板,經(jīng)由VPN網(wǎng)路進行攻擊。製造業(yè)部份,近期最大事件就是2018年8月臺積電半導(dǎo)體產(chǎn)線中毒,造成52億元損失,成為臺灣有史以來損失最大的資安事件。
資安防範(fàn)走向法制化
從架構(gòu)面來看,全球智慧製造大約從2016年開始落地,導(dǎo)致這幾年工業(yè)控制系統(tǒng)的資安漏洞數(shù)量逐年上升,光是2018年就比2017年增加了30%,其中又以HMI/SCADA與工業(yè)網(wǎng)通設(shè)備為主,其次則是PLC與遠距終端機裝置(Remote terminal unit;RTU),這三大項目都是製造業(yè)近年來與IT系統(tǒng)整合的OT設(shè)備,在多數(shù)導(dǎo)入廠商在資安方面的資源投入不足下,讓駭客有機可乘,而由於機械產(chǎn)業(yè)是臺灣第三個年產(chǎn)值破兆的產(chǎn)業(yè),一旦資安事件發(fā)生的頻率過高,將危及國家經(jīng)濟,因此除了廠商必須努力強化安全機制之外,政府業(yè)也積極協(xié)助,解決資安問題。
嵌入式聯(lián)網(wǎng)系統(tǒng)的資安問題不只在導(dǎo)入企業(yè),也包括產(chǎn)品外銷至歐美市場的嵌入式設(shè)備業(yè)者,以美國為例,近年來該國供應(yīng)鏈安全環(huán)境日益嚴(yán)峻,根據(jù)NIST(國家標(biāo)準(zhǔn)暨技術(shù)研究院)的報告,有98%的製造商於2016~2018兩年間曾有生產(chǎn)中斷事件,因此造成經(jīng)濟損失超過2500萬美元者高達55%,而生產(chǎn)中斷有24%是來自網(wǎng)路攻擊,整體而言,2018年來自供應(yīng)鏈的攻擊事件就成長了78%。因此,NIST在2018年發(fā)布了資安框架(Cybersecurity Framework;CSF)1.1版本,此版本是在2014年發(fā)布首版,目的是為了協(xié)助政府與企業(yè)進行資安威脅識別與管理,因應(yīng)嵌入式系統(tǒng)的資安威脅,2018年首次重大改版。
此版本聚焦在重視能源、銀行、通訊和國防等攸關(guān)美國國安與經(jīng)濟的關(guān)鍵基礎(chǔ)設(shè)施產(chǎn)業(yè)資安管理,並特別將「供應(yīng)鏈風(fēng)險管理」(Supply Chain Risk;簡稱SCRM)增列至核心類別,代表供應(yīng)鏈風(fēng)險已有相當(dāng)?shù)闹匾裕毴孀R別與因應(yīng),建議企業(yè)將資通安全納入高風(fēng)險供應(yīng)商合約中,定期評估和監(jiān)控供應(yīng)商資安狀況。
美國總統(tǒng)川普已發(fā)布總統(tǒng)令,要求聯(lián)邦政府與關(guān)鍵基礎(chǔ)設(shè)施業(yè)者強制採用NIST CSF架構(gòu)管理資安風(fēng)險,並在2018年8月NIST推出「Small Business Cybersecurity Act」後,將此標(biāo)準(zhǔn)推廣至美國3千萬家中小企業(yè),作為資安管理之參考依據(jù),除了美國外,其他國家他國家與企業(yè)也相繼採用,2018年起已擴散至日本、英國、義大利、加拿大、以色列等國政府、能源委員會、國防與企業(yè)等全球30個國家。
法制規(guī)定帶來藍海市場
除了NIST的新版本資安框架外,由於5G時代來臨,ICT供應(yīng)鏈技術(shù)快速演進 增加資安風(fēng)險,美國政府表示對手常透過ICT技術(shù)漏洞,進行惡意攻擊,因此美國政府也從政策面強化嵌入式設(shè)備與ICT的供應(yīng)鏈風(fēng)險管理,2018年7月美國國土安全部轄下資安及基礎(chǔ)設(shè)施安全局,整合聯(lián)邦機構(gòu)及科技大廠成立「ICT Supply Chain Risk Management Task Force」,以推動供應(yīng)鏈威脅資訊共享、建立供應(yīng)鏈安全評估框架與標(biāo)準(zhǔn)、研擬合格製造商清單以防堵有安全風(fēng)險的ICT產(chǎn)品等三大措施,希望建構(gòu)美國建構(gòu)ICT供應(yīng)鏈風(fēng)險管理與因應(yīng)能力。
| 圖2 : 全球智慧製造從2016年開始落地,導(dǎo)致這幾年工業(yè)控制系統(tǒng)的資安漏洞數(shù)量逐年上升。(source:Network World.com) |
|
目前「ICT Supply Chain Risk Management Task Force」的成員包括了20個政府單位、40家 ICT與晶片大廠,有些成員目前正在制定服務(wù)投標(biāo)業(yè)者與製造商清單,未來未納入此名單的業(yè)者,可能無法供貨給上述機構(gòu)與業(yè)者,在今年,川普更進一步強化相關(guān)的作為,川普已簽署行政命令,禁止美國機構(gòu)、企業(yè)或個人交易、使用對美國國安造成重大風(fēng)險的ICT產(chǎn)品或服務(wù)。
除了美國之外,歐盟近期也開始加強嵌入式系統(tǒng)的資安法規(guī),因此從過去幾年的發(fā)展來看,隱私與資安已陸續(xù)法制化,對業(yè)者來說,這些法規(guī)雖對產(chǎn)品研發(fā)與製造帶來挑戰(zhàn),但也代表另一波藍海市場的啟動。現(xiàn)在全球企業(yè)對網(wǎng)絡(luò)釣魚,勒索軟體等攻擊日益重視,OT端點、OT網(wǎng)路與OT監(jiān)控安全等需求不斷增加,加上在政府法規(guī)要求下品牌客戶開始要求供應(yīng)鏈安全,從2010~2018年全球公開上市的資安公司就從12家成長至33家,全球公開上市資安公司市值,更從2010年的718億美元成長至2018年達到1,597億美元,而從整體發(fā)展來看,目前此市場仍只在初期階段,後續(xù)成長潛力將十分驚人。
不過,相對於國外廠商,臺灣企業(yè)在資安投資雖已逐漸重視,但仍然不足,2018年有90%的臺灣企業(yè)在資安方面的投資至少是持平,上市櫃公司28%企業(yè)會增加資安投資,更有10%的新增資安人力。而在所有產(chǎn)業(yè)中,不論是資安投資金額或年成長率,金融業(yè)都是首位,其平均資安投資金額達到新臺幣3,045萬元,機電與醫(yī)療兩大產(chǎn)業(yè)則偏低。
至於被認(rèn)為是非消費性嵌入式架構(gòu)重點的製造系統(tǒng),多數(shù)廠商尚未全面導(dǎo)入OT資產(chǎn)資訊可視化機制,難以即時監(jiān)控設(shè)備狀態(tài),OT應(yīng)用程式的資安管理也仍有努力空間,至於IT/OT網(wǎng)路與OT內(nèi)網(wǎng),臺灣則已有近90%的製造業(yè)者採用實體隔離,未來將會進一步強化。
在成本與效能的考量下,非消費性領(lǐng)域的嵌入式系統(tǒng)發(fā)展已然蓬勃,不過資安挑戰(zhàn)也將隨之而來,現(xiàn)在歐美市場對資安與隱私的問題向來重視,臺灣廠商必須及時了解其法規(guī)發(fā)展,方能掌握商機,達到企業(yè)永續(xù)生存的目標(biāo)。
**刊頭圖(source:Cognos IT Solutions)
