隨著人工智能技術(shù)的進(jìn)步�,智能化(intelligentization)已經(jīng)成為21世紀(jì)最重要的科技主軸。而智能制造主要的核心技術(shù)便是物聯(lián)網(wǎng)技術(shù)與虛實(shí)整合系統(tǒng)(Cyber-Physical System�����,CPS)�,再結(jié)合大數(shù)據(jù)分析、人工智能及云計算等技術(shù)�����,將生產(chǎn)過程的每一個環(huán)節(jié)智能化���,借此達(dá)到客制化的業(yè)務(wù)目標(biāo)�����,以適應(yīng)外部市場少量多樣的需求����。
過去的制造概念是追求生產(chǎn)自動化���,并以SOP(Standard Operation Procedure)標(biāo)準(zhǔn)作業(yè)流程大量生產(chǎn)公版化的產(chǎn)品����。而智能制造概念則不然,為因應(yīng)消費(fèi)族群的購物觀念變動�����,可快速地客制化生產(chǎn)的制造方式逐漸受到擁戴�����,這是工業(yè)4.0當(dāng)中相當(dāng)重要的核心概念��。未來的智能工廠將并不單指工業(yè)技術(shù)的提升��,而是整合了技術(shù)��、銷售以及產(chǎn)品體驗等����,使得制造、販?zhǔn)?、物流、售后服?wù)等商業(yè)概念連為一體�,最終建構(gòu)出一個具有感知意識的智能世界,而「需求客制化」將是智能制造所追求的主要目標(biāo)之一�����。
快速�����、客制化的生產(chǎn)方式是工業(yè)4.0的核心概念
除了需求客制化外��,結(jié)合大數(shù)據(jù)分析的智能制造甚至可以透過巨量數(shù)據(jù)來分析出市場的走向���、天氣預(yù)測�、原物料的數(shù)量與庫存��、運(yùn)輸?shù)倪M(jìn)程及瑕疵改善等�,借此精準(zhǔn)拿捏生產(chǎn)量或調(diào)度現(xiàn)有資源、減少多余成本與浪費(fèi)��,以此達(dá)到生產(chǎn)最佳化�����。[1]
快速��、客制化的生產(chǎn)方式是工業(yè)4.0的核心概念
工業(yè)4.0的來臨����,使得世界各國紛紛祭出政策�。工業(yè)革命的發(fā)源地英國早在2008年便提出「高價值制造戰(zhàn)略」����,鼓勵英國本土企業(yè)制造更多世界級的高附加價值產(chǎn)品。2013年更提出「英國工業(yè)2050年戰(zhàn)略」����,為英國在2050年以前的制造業(yè)打造一份方針,其中的核心概念便以高度客制化��、快速響應(yīng)消費(fèi)者需求為主�。
同樣曾是工業(yè)大國的美國也不落人后,2011年聯(lián)邦政府開始啟動「先進(jìn)制造伙伴聯(lián)盟」(AMP�,Advanced Manufacturing Partnership)政策,同樣也是因應(yīng)舊有制造業(yè)概念的不適用所提出的計畫���,更于2014年提出AMP 2.0��,強(qiáng)調(diào)具體實(shí)施對策����。其中先進(jìn)制造的核心重點(diǎn)在于����,希望藉由智能制造帶來的新商業(yè)模式��,使得設(shè)立于國外的廠商可以開始回流���。同樣的概念也在法國綻開����,就在德國正式發(fā)表工業(yè)4.0報告后,法國政府也發(fā)表了「工業(yè)新法國」的計畫����,主要目的與美國相似。
除了上述老牌工業(yè)強(qiáng)國外����,日本也提出了諸如「產(chǎn)業(yè)重振計畫」、「日本工業(yè)4.1J」�、「社會5.0」等政策。而中國身為21世紀(jì)的制造大國�,在2015年則提出了為期十年的「中國制造2025」計畫。金磚四國之一的印度同樣跟上工業(yè)4.0的潮流�,祭出「印度制造計畫」以重整印度的經(jīng)商環(huán)境以及制造產(chǎn)業(yè)的問題。[2]
智能制造伴隨而來的安全問題
然而在研擬與建構(gòu)的過程中��,隨著系統(tǒng)結(jié)構(gòu)的復(fù)雜度提升,信息安全風(fēng)險也伴隨而來����。在融合物聯(lián)網(wǎng)、大數(shù)據(jù)��、云計算及人工智能等技術(shù)后的場域��,將會擴(kuò)增出大量的資料流空間�����,而智能制造的主要實(shí)行方式���,便是以物聯(lián)網(wǎng)作為架構(gòu)基礎(chǔ)���,將之應(yīng)用于制造產(chǎn)業(yè),形成「工業(yè)物聯(lián)網(wǎng)」(Industrial Internet of Things)體系����。經(jīng)布建后,信息安全漏洞的分布率自然會開始上升�,潛在威脅便更容易透過破口影響到工業(yè)物聯(lián)網(wǎng)系統(tǒng),使得整套系統(tǒng)即便僅有一小部分受到損毀,也會影響整體系統(tǒng)的運(yùn)作����;若遭受到駭客入侵,甚至可以癱瘓整套生產(chǎn)系統(tǒng)����,造成龐大的金額損失及商譽(yù)的損害。
目前與智能制造相關(guān)的國際標(biāo)準(zhǔn)規(guī)范有國際自動化學(xué)會(International Society of Automation��,ISA)與國際電工委員會(International Electrotechnical Commission�����,IEC)頒布的ISA/IEC 62443系列標(biāo)準(zhǔn)���,針對工業(yè)化自動控制系統(tǒng)(Industrial Automation Control System,IACS)的政策與流程面�、系統(tǒng)安全面、元件開發(fā)面制定相關(guān)規(guī)范與指南��。美國國家標(biāo)準(zhǔn)暨技術(shù)研究院(National Institute of Standards and Technology���,NIST)也頒布了NIST.SP.800-82���,為SCADA(Supervisory Control And Data Acquisition)�、DCS(Distributed Control System)�����、PLC(Programmable Logic Controller )等工業(yè)控制系統(tǒng)揭橥了相關(guān)的安全指南����,除了這項指導(dǎo)手冊外,還有諸如NIST.IR.8200���、NIST.IR.8228等規(guī)范都已發(fā)布����。而歐盟網(wǎng)路資訊安全局(European Union Agency for Cybersecurity��,ENISA)也針對物聯(lián)網(wǎng)與網(wǎng)路安全出版許多相關(guān)指導(dǎo)建議以及標(biāo)準(zhǔn)�。
工業(yè)物聯(lián)網(wǎng)面臨的信息安全問題與挑戰(zhàn)
工業(yè)物聯(lián)網(wǎng)主要專注于M2M(Machine to Machine)、CPS�、大數(shù)據(jù)以及機(jī)器學(xué)習(xí)等技術(shù),也是IT(Information Technology)與OT(Operational Technology)兩大技術(shù)領(lǐng)域整合的開端�。然而IT與OT本身各自早已具有數(shù)百種不同的協(xié)定與標(biāo)準(zhǔn),加上物聯(lián)網(wǎng)本身的復(fù)雜特性��,將會造成網(wǎng)路安全的責(zé)任分配問題。且由于使用生命周期中涉及大量利益相關(guān)者��,諸如元件供應(yīng)商可能就有數(shù)十間不等�,元件分別適用不同的規(guī)范或標(biāo)準(zhǔn),設(shè)備又可能因分布在不同的地理位置而適用不同的法律約束��,導(dǎo)致工業(yè)物聯(lián)網(wǎng)產(chǎn)生在標(biāo)準(zhǔn)規(guī)范上難以統(tǒng)一����,造成「技術(shù)碎片化」之問題,而這些標(biāo)準(zhǔn)該如何進(jìn)行整合或協(xié)作����,將會是首要面臨的挑戰(zhàn)。[4]
對資安的認(rèn)識不足會是未來工業(yè)物聯(lián)網(wǎng)的一大挑戰(zhàn)
再者����,工業(yè)物聯(lián)網(wǎng)是一項新穎技術(shù)����,目前仍然在研發(fā)及測試階段,針對過去已在OT場域工作數(shù)十年的技術(shù)人員該如何建立足夠的工業(yè)物聯(lián)網(wǎng)相關(guān)信息安全意識��,挹注合適的人員教育訓(xùn)練將會是另一項值得研究的課題��。
伴隨人員安全意識不足的問題,同樣也涉及到公司制度層面�����。目前仍有許多企業(yè)對于資訊安全的議題不夠重視�,未來智能制造建構(gòu)后伴隨而來的風(fēng)險將有別以往,然而企業(yè)的高階管理層對于信息安全的認(rèn)識不足��,會是未來對工業(yè)物聯(lián)網(wǎng)的一大挑戰(zhàn)�。因為進(jìn)行信息安全防護(hù)工作較難以察覺甚至量化其效益值,且還需投入相當(dāng)成本��,故管理層容易忽視資訊安全這項要素����,并不將信息安全的重要性與具業(yè)務(wù)價值的建設(shè)并列。這樣的弊端并不是因工業(yè)4.0的發(fā)展而出現(xiàn)的�����,而是一個陳舊問題��。
對信息安全的認(rèn)識不足會是未來工業(yè)物聯(lián)網(wǎng)的一大挑戰(zhàn)
以上問題屬建構(gòu)階段所面臨的困難,建構(gòu)的過程中如果沒有針對這些問題做出適當(dāng)?shù)拇胧瑢⒖赡苁瓜到y(tǒng)未來承受巨大的信息安全風(fēng)險��。而建置成熟的工業(yè)物聯(lián)網(wǎng)即便事先排除了上述困難��,也不代表風(fēng)險就此消失��。在大量且豐富的資料流不斷相互傳輸運(yùn)作之下��,一旦發(fā)生資料外泄�����,抑或資料遭到惡意竄改�,便會對工業(yè)物聯(lián)網(wǎng)系統(tǒng)造成不良的連鎖反應(yīng)。且智能制造將會使虛擬與實(shí)體兩個世界做出更緊密的連結(jié)���,如物聯(lián)網(wǎng)系統(tǒng)發(fā)生信息安全事件����,對于實(shí)體世界的破壞也會相當(dāng)顯著�����。
由于智能制造的環(huán)境會變得更為復(fù)雜多端����,加上物聯(lián)網(wǎng)系統(tǒng)本身的互聯(lián)性�,使得攻擊面也將擴(kuò)大許多�����,除了一些非人為的風(fēng)險外����,還須特別注意人為造成的威脅����,其中駭客入侵便是一種典型的狀況。不安全的連接端口����、久未更新的元件、不完整的更新機(jī)制等��,都會是駭客可能下手的破口�����。尤其傳統(tǒng)的工業(yè)場域?qū)τ诟碌慕邮芏认喈?dāng)?shù)吐?����,因為一次更新所引起的停擺將會造成企業(yè)虧損����,是故對于工業(yè)物聯(lián)網(wǎng)來說��,安全的更新會是一項重要的議題���。
此外,網(wǎng)路通訊管道如果疏忽了信息安全防護(hù)�,諸如分散式阻斷服務(wù)攻擊(Distributed Denial-of-Service attack,DDoS)���、訊息竄改����、竊聽�、植入惡意程式等網(wǎng)路攻擊也會是駭客很可能使用的手法,這些攻擊都會造成資產(chǎn)的嚴(yán)重破壞或是資料外泄����。
場域在轉(zhuǎn)型的過程當(dāng)中,一些老舊的設(shè)備����、傳統(tǒng)的工業(yè)系統(tǒng)也會是一項需要關(guān)注的信息安全漏洞��,在舊有系統(tǒng)的基礎(chǔ)上構(gòu)建新系統(tǒng)后,可能導(dǎo)致過時的保護(hù)措施仍然被使用��,以及舊有系統(tǒng)中出現(xiàn)多年未被發(fā)現(xiàn)的未知漏洞�,這可能使攻擊者找到一種新的方式來危害系統(tǒng)。[5]
最后�,應(yīng)用程式在開發(fā)和設(shè)計上如果沒挹注安全開發(fā)的觀念,軟件上的漏洞也將是駭客入侵系統(tǒng)的大門���。而硬件設(shè)備在設(shè)計中若沒有將信息安全元素納入����,也會是攻擊者入侵的破口�。從以上種種示例可以得知,工業(yè)物聯(lián)網(wǎng)可能遭受的攻擊面十分廣泛�,且無論在工業(yè)物聯(lián)網(wǎng)的哪一端進(jìn)行破壞皆可能癱瘓整體系統(tǒng),最后造成的損害甚至傷亡將難以估計�。[6]
工業(yè)物聯(lián)網(wǎng)信息安全解決方案
針對智能制造未來將會面臨的種種信息安全問題,仲至信息具有深度的信息安全問題解決能力�����,具備工業(yè)控制系統(tǒng)�、連網(wǎng)設(shè)備及物聯(lián)網(wǎng)滲透測試與信息安全研究能力的團(tuán)隊。已贏得許多國際獎項,包括2020 Cybersecurity Excellence Awards(網(wǎng)路安全卓越獎)中的6項金獎與1項銀獎�、亞洲最佳信息安全公司金獎等,開發(fā)的信息安全產(chǎn)品也獲多國專利及國際認(rèn)可��。
仲至信息取得7個信息安全檢測項目的ISO 17025認(rèn)可實(shí)驗室���、亞洲第一個美國CTIA授權(quán)的信息安全實(shí)驗室��,也是Amazon Alexa授權(quán)的信息安全檢測實(shí)驗室���;目前已發(fā)現(xiàn)超過40個全球首發(fā)的安全漏洞(CVE),且具備物聯(lián)網(wǎng)設(shè)備����、智能電網(wǎng)、車聯(lián)網(wǎng)��、嵌入式系統(tǒng)�、行動App、ICS和SCADA設(shè)備的信息安全檢測技術(shù)�。
對于工業(yè)物聯(lián)網(wǎng)硬件設(shè)備可能會出現(xiàn)的信息安全漏洞,仲至信息所提供的解決方案包括:
工控產(chǎn)品或系統(tǒng)的軟����、硬件信息安全檢測服務(wù),同時提供軟件安全開發(fā)咨詢服務(wù),協(xié)助廠商具備軟件安全開發(fā)能量����,滿足業(yè)界與客戶對于軟硬件之信息安全要求�,諸如網(wǎng)通產(chǎn)品、行動裝置�、安控、智能家電�����、智能汽車及物聯(lián)網(wǎng)等連網(wǎng)產(chǎn)品皆適用����。
自主研發(fā)的產(chǎn)品信息安全管理系統(tǒng)「HERCULES SecFlow」、漏洞檢測自動化工具「HERCULES SecDevice」��,則是提供連網(wǎng)產(chǎn)品于設(shè)計��、開發(fā)��、測試及部署階段的合規(guī)自動化安全評估工具��,符合IEC 62443��、OWASP TOP 10 與CWE/SANS TOP 25 等安全要求,并適用于PLC����、ICS、SCADA等智能制造相關(guān)之工控元件��。
以及IEC 62443�、ISO 27001等顧問咨詢服務(wù)一站式的信息安全解決方案,仲至信息也擁有完整的合規(guī)相關(guān)服務(wù)����,能協(xié)助廠商快速取得國際標(biāo)準(zhǔn)之證書,以增加客戶的信賴度及企業(yè)商譽(yù)���。另提供專業(yè)的信息安全教育訓(xùn)練���,幫助技術(shù)人員建立與工業(yè)物聯(lián)網(wǎng)相關(guān)的信息安全意識,以因應(yīng)未來智能制造的建置以及工業(yè)4.0時代的來臨����。
2020年將會是物聯(lián)網(wǎng)技術(shù)全面布建的階段。隨著科技日新月異�����,人們的生活也變得越來越便利。也因科技所帶來的效益����,過去數(shù)十年間各企業(yè)戮力追趕地將資訊技術(shù)深入全球各大領(lǐng)域,卻忽略長期穩(wěn)定運(yùn)作所須達(dá)成的安全要求�,一次次重大信息安全事故的爆發(fā)已經(jīng)證明,僅靠安裝防護(hù)軟件無法保證組織的安全以及生產(chǎn)系統(tǒng)的營運(yùn)安全�。
未來智能制造的建置架構(gòu)將比現(xiàn)在大多數(shù)的生產(chǎn)架構(gòu)都要來得更為錯綜復(fù)雜����,然而水能載舟、亦能覆舟���,一昧地追求創(chuàng)新科技所帶來的營利和效果���,卻忽略背后隱藏的巨大風(fēng)險,那么信息安全威脅終會重蹈覆轍����,成為一顆不定時炸彈,一但觸發(fā)�����,損害勢必更勝以往,智能制造所帶來的裨益也將化為烏有�。
若在危害發(fā)生以前便做好完善的信息安全管理措施及方案,且人員具備足夠的信息安全意識�����,軟硬件設(shè)備皆在開發(fā)時便將資安要素納入考量��,那么智慧制造將會是一紙美好的藍(lán)圖����,也會是值得你我共同努力的未來。
Reference:
[1] CommonWealth����,http://topic.cw.com.tw/2016industry4.0/article.html.
[2] ENISA,“Industry 4.0 - CybersecurityChallenges and Recommendations”����,2019.05。
[3] ENISA��,“Good Practices for Security ofInternets of Things”�,2018.11。
[4] Trend Micro Inc. “The IoT Attack Surface:Threats and Security Solutions”�,2019.05��。https://www.trendmicro.com/vinfo/us/security/news/internet-of-things/the-iot-attack-surface-threats-and-security-solutions.
