在物聯(lián)網(wǎng)概念的帶動(dòng)下,連網(wǎng)逐漸成為嵌入式系統(tǒng)的重要功能,尤其是製造、交通等過(guò)去較為封閉的場(chǎng)域,現(xiàn)在都需要與IT系統(tǒng)整合,讓資訊可以被進(jìn)一步利用,創(chuàng)造出更多價(jià)值,不過(guò)這也讓OT系統(tǒng)產(chǎn)生以往少有的資安問(wèn)題,因此在智慧化時(shí)代,讓嵌入式系統(tǒng)的效能與安全得以兼具,就成為系統(tǒng)設(shè)計(jì)者必須嚴(yán)正面對(duì)的問(wèn)題。
| 圖1 : 網(wǎng)路攻擊已成為嵌入式系統(tǒng)業(yè)者必須嚴(yán)正面對(duì)的問(wèn)題。(source:DFLabs) |
|
觀察這幾年的發(fā)展,包括工業(yè)領(lǐng)域在內(nèi)的各種製造系統(tǒng)、醫(yī)療產(chǎn)業(yè)的行動(dòng)醫(yī)療車與電子藥櫃、金融機(jī)構(gòu)的匯款系統(tǒng)、ATM…等嵌入式設(shè)備,都因連網(wǎng)成為必要功能,成為駭客的攻擊目標(biāo),金融業(yè)方面,2016年7月第一銀行爆發(fā)ATM盜領(lǐng)案後,2017年10月遠(yuǎn)東銀行國(guó)際匯款交易系統(tǒng)又遭駭客製造假交易,醫(yī)療領(lǐng)域則是最近的事情,2019年9月臺(tái)灣醫(yī)療院所發(fā)生勒索軟體攻擊的情事,共有22家醫(yī)院受到勒索病毒影響,部分醫(yī)院主機(jī)被駭客當(dāng)成跳板,經(jīng)由VPN網(wǎng)路進(jìn)行攻擊。製造業(yè)部份,近期最大事件就是2018年8月臺(tái)積電半導(dǎo)體產(chǎn)線中毒,造成52億元損失,成為臺(tái)灣有史以來(lái)?yè)p失最大的資安事件。
資安防範(fàn)走向法制化
從架構(gòu)面來(lái)看,全球智慧製造大約從2016年開始落地,導(dǎo)致這幾年工業(yè)控制系統(tǒng)的資安漏洞數(shù)量逐年上升,光是2018年就比2017年增加了30%,其中又以HMI/SCADA與工業(yè)網(wǎng)通設(shè)備為主,其次則是PLC與遠(yuǎn)距終端機(jī)裝置(Remote terminal unit;RTU),這三大項(xiàng)目都是製造業(yè)近年來(lái)與IT系統(tǒng)整合的OT設(shè)備,在多數(shù)導(dǎo)入廠商在資安方面的資源投入不足下,讓駭客有機(jī)可乘,而由於機(jī)械產(chǎn)業(yè)是臺(tái)灣第三個(gè)年產(chǎn)值破兆的產(chǎn)業(yè),一旦資安事件發(fā)生的頻率過(guò)高,將危及國(guó)家經(jīng)濟(jì),因此除了廠商必須努力強(qiáng)化安全機(jī)制之外,政府業(yè)也積極協(xié)助,解決資安問(wèn)題。
嵌入式聯(lián)網(wǎng)系統(tǒng)的資安問(wèn)題不只在導(dǎo)入企業(yè),也包括產(chǎn)品外銷至歐美市場(chǎng)的嵌入式設(shè)備業(yè)者,以美國(guó)為例,近年來(lái)該國(guó)供應(yīng)鏈安全環(huán)境日益嚴(yán)峻,根據(jù)NIST(國(guó)家標(biāo)準(zhǔn)暨技術(shù)研究院)的報(bào)告,有98%的製造商於2016~2018兩年間曾有生產(chǎn)中斷事件,因此造成經(jīng)濟(jì)損失超過(guò)2500萬(wàn)美元者高達(dá)55%,而生產(chǎn)中斷有24%是來(lái)自網(wǎng)路攻擊,整體而言,2018年來(lái)自供應(yīng)鏈的攻擊事件就成長(zhǎng)了78%。因此,NIST在2018年發(fā)布了資安框架(Cybersecurity Framework;CSF)1.1版本,此版本是在2014年發(fā)布首版,目的是為了協(xié)助政府與企業(yè)進(jìn)行資安威脅識(shí)別與管理,因應(yīng)嵌入式系統(tǒng)的資安威脅,2018年首次重大改版。
此版本聚焦在重視能源、銀行、通訊和國(guó)防等攸關(guān)美國(guó)國(guó)安與經(jīng)濟(jì)的關(guān)鍵基礎(chǔ)設(shè)施產(chǎn)業(yè)資安管理,並特別將「供應(yīng)鏈風(fēng)險(xiǎn)管理」(Supply Chain Risk;簡(jiǎn)稱SCRM)增列至核心類別,代表供應(yīng)鏈風(fēng)險(xiǎn)已有相當(dāng)?shù)闹匾裕毴孀R(shí)別與因應(yīng),建議企業(yè)將資通安全納入高風(fēng)險(xiǎn)供應(yīng)商合約中,定期評(píng)估和監(jiān)控供應(yīng)商資安狀況。
美國(guó)總統(tǒng)川普已發(fā)布總統(tǒng)令,要求聯(lián)邦政府與關(guān)鍵基礎(chǔ)設(shè)施業(yè)者強(qiáng)制採(cǎi)用NIST CSF架構(gòu)管理資安風(fēng)險(xiǎn),並在2018年8月NIST推出「Small Business Cybersecurity Act」後,將此標(biāo)準(zhǔn)推廣至美國(guó)3千萬(wàn)家中小企業(yè),作為資安管理之參考依據(jù),除了美國(guó)外,其他國(guó)家他國(guó)家與企業(yè)也相繼採(cǎi)用,2018年起已擴(kuò)散至日本、英國(guó)、義大利、加拿大、以色列等國(guó)政府、能源委員會(huì)、國(guó)防與企業(yè)等全球30個(gè)國(guó)家。
法制規(guī)定帶來(lái)藍(lán)海市場(chǎng)
除了NIST的新版本資安框架外,由於5G時(shí)代來(lái)臨,ICT供應(yīng)鏈技術(shù)快速演進(jìn) 增加資安風(fēng)險(xiǎn),美國(guó)政府表示對(duì)手常透過(guò)ICT技術(shù)漏洞,進(jìn)行惡意攻擊,因此美國(guó)政府也從政策面強(qiáng)化嵌入式設(shè)備與ICT的供應(yīng)鏈風(fēng)險(xiǎn)管理,2018年7月美國(guó)國(guó)土安全部轄下資安及基礎(chǔ)設(shè)施安全局,整合聯(lián)邦機(jī)構(gòu)及科技大廠成立「ICT Supply Chain Risk Management Task Force」,以推動(dòng)供應(yīng)鏈威脅資訊共享、建立供應(yīng)鏈安全評(píng)估框架與標(biāo)準(zhǔn)、研擬合格製造商清單以防堵有安全風(fēng)險(xiǎn)的ICT產(chǎn)品等三大措施,希望建構(gòu)美國(guó)建構(gòu)ICT供應(yīng)鏈風(fēng)險(xiǎn)管理與因應(yīng)能力。
| 圖2 : 全球智慧製造從2016年開始落地,導(dǎo)致這幾年工業(yè)控制系統(tǒng)的資安漏洞數(shù)量逐年上升。(source:Network World.com) |
|
目前「ICT Supply Chain Risk Management Task Force」的成員包括了20個(gè)政府單位、40家 ICT與晶片大廠,有些成員目前正在制定服務(wù)投標(biāo)業(yè)者與製造商清單,未來(lái)未納入此名單的業(yè)者,可能無(wú)法供貨給上述機(jī)構(gòu)與業(yè)者,在今年,川普更進(jìn)一步強(qiáng)化相關(guān)的作為,川普已簽署行政命令,禁止美國(guó)機(jī)構(gòu)、企業(yè)或個(gè)人交易、使用對(duì)美國(guó)國(guó)安造成重大風(fēng)險(xiǎn)的ICT產(chǎn)品或服務(wù)。
除了美國(guó)之外,歐盟近期也開始加強(qiáng)嵌入式系統(tǒng)的資安法規(guī),因此從過(guò)去幾年的發(fā)展來(lái)看,隱私與資安已陸續(xù)法制化,對(duì)業(yè)者來(lái)說(shuō),這些法規(guī)雖對(duì)產(chǎn)品研發(fā)與製造帶來(lái)挑戰(zhàn),但也代表另一波藍(lán)海市場(chǎng)的啟動(dòng)。現(xiàn)在全球企業(yè)對(duì)網(wǎng)絡(luò)釣魚,勒索軟體等攻擊日益重視,OT端點(diǎn)、OT網(wǎng)路與OT監(jiān)控安全等需求不斷增加,加上在政府法規(guī)要求下品牌客戶開始要求供應(yīng)鏈安全,從2010~2018年全球公開上市的資安公司就從12家成長(zhǎng)至33家,全球公開上市資安公司市值,更從2010年的718億美元成長(zhǎng)至2018年達(dá)到1,597億美元,而從整體發(fā)展來(lái)看,目前此市場(chǎng)仍只在初期階段,後續(xù)成長(zhǎng)潛力將十分驚人。
不過(guò),相對(duì)於國(guó)外廠商,臺(tái)灣企業(yè)在資安投資雖已逐漸重視,但仍然不足,2018年有90%的臺(tái)灣企業(yè)在資安方面的投資至少是持平,上市櫃公司28%企業(yè)會(huì)增加資安投資,更有10%的新增資安人力。而在所有產(chǎn)業(yè)中,不論是資安投資金額或年成長(zhǎng)率,金融業(yè)都是首位,其平均資安投資金額達(dá)到新臺(tái)幣3,045萬(wàn)元,機(jī)電與醫(yī)療兩大產(chǎn)業(yè)則偏低。
至於被認(rèn)為是非消費(fèi)性嵌入式架構(gòu)重點(diǎn)的製造系統(tǒng),多數(shù)廠商尚未全面導(dǎo)入OT資產(chǎn)資訊可視化機(jī)制,難以即時(shí)監(jiān)控設(shè)備狀態(tài),OT應(yīng)用程式的資安管理也仍有努力空間,至於IT/OT網(wǎng)路與OT內(nèi)網(wǎng),臺(tái)灣則已有近90%的製造業(yè)者採(cǎi)用實(shí)體隔離,未來(lái)將會(huì)進(jìn)一步強(qiáng)化。
在成本與效能的考量下,非消費(fèi)性領(lǐng)域的嵌入式系統(tǒng)發(fā)展已然蓬勃,不過(guò)資安挑戰(zhàn)也將隨之而來(lái),現(xiàn)在歐美市場(chǎng)對(duì)資安與隱私的問(wèn)題向來(lái)重視,臺(tái)灣廠商必須及時(shí)了解其法規(guī)發(fā)展,方能掌握商機(jī),達(dá)到企業(yè)永續(xù)生存的目標(biāo)。
**刊頭圖(source:Cognos IT Solutions)
