因應(yīng)這兩年來(lái)疫情促成全球企業(yè)數(shù)位轉(zhuǎn)型腳步不斷加快,資安威脅變得更加詭譎難測(cè)。受駭者從政府、基礎(chǔ)建設(shè)擴(kuò)及科技業(yè),就連傳產(chǎn)及電子代工產(chǎn)業(yè)亦無(wú)法倖免。加上駭客組織愈趨企業(yè)化,都讓企業(yè)內(nèi)部資安必須加大力道,擴(kuò)及產(chǎn)業(yè)鏈上下游聯(lián)防,而不再以「工廠機(jī)器又不上網(wǎng)」來(lái)粉飾太平!
尤其是在最近《經(jīng)濟(jì)學(xué)人(The Economist)》雜誌封面上,將臺(tái)灣列為「地表上最危險(xiǎn)的地方(The dangerous place on Earth)」之後,除了再度引發(fā)政治、軍事、外交等熱議話題之外,最應(yīng)該重視的,還是由於近年來(lái)美中貿(mào)易及科技戰(zhàn)開(kāi)打,導(dǎo)致全球供應(yīng)鏈重組等趨勢(shì),才讓臺(tái)灣製造業(yè)的角色越來(lái)越吃重。
加上早從2020年開(kāi)始,受到疫情影響加快數(shù)位化腳步,各種資通訊新興科技技術(shù)持續(xù)深入日常生活,同時(shí)促進(jìn)AIoT應(yīng)用的普及,也帶來(lái)資安事件和挑戰(zhàn)頻增,資安防護(hù)範(fàn)圍更為廣泛,已不再侷限於單純的「資訊(IT)」領(lǐng)域,還包含了現(xiàn)場(chǎng)操作(OT)層面,成為現(xiàn)今全球管理階層最頭疼的問(wèn)題。
根據(jù)Cybersecurity Venture研究,全球截至2021年因資訊安全事件已造成6兆美元的成本損失,僅次於美國(guó)和中國(guó)的世界第三大經(jīng)濟(jì)體。而近年伴隨著物聯(lián)網(wǎng)、AI技術(shù),帶動(dòng)工業(yè)4.0、智慧製造的浪潮,工廠場(chǎng)域的資安風(fēng)險(xiǎn)也隨之升溫,尤其工業(yè)物聯(lián)網(wǎng)大量將IT與OT融合的佈建下,促使受封閉式網(wǎng)路保護(hù)的OT端,大量暴露在網(wǎng)路威脅之下。因此,企業(yè)應(yīng)透過(guò)更完整由端到雲(yún)的資安防護(hù),以確保在資安環(huán)境數(shù)位轉(zhuǎn)型,免於資安威脅。
如最近發(fā)生美國(guó)燃油管線營(yíng)運(yùn)業(yè)者殖民管線公司(Colonial Pipeline)遭受駭客大肆攻擊事件,便導(dǎo)致全美最大的燃料輸送網(wǎng)路停擺,最後不得不支付了近500萬(wàn)美元加密貨幣贖金,得到駭客提供的解鎖工具,才讓該公司受到癱瘓的電腦能重新使用。
| 圖1 : 由於近年來(lái)美中貿(mào)易及科技戰(zhàn)開(kāi)打,導(dǎo)致全球供應(yīng)鏈重組等趨勢(shì),才讓臺(tái)灣製造業(yè)的角色越來(lái)越吃重。圖為臺(tái)積電晶圓廠房。(source:TSMC) |
|
駭客轉(zhuǎn)型企業(yè)化 中小企業(yè)亟須政府奧援
就連臺(tái)灣半導(dǎo)體、電子代工產(chǎn)業(yè)也無(wú)法倖免,2020~2021年陸續(xù)傳出仁寶、研華、鴻海、宏碁受到REvil勒索軟體攻擊,最近的苦主則是蘋(píng)果公司(Apple)的PC和其他伺服器業(yè)者重要的組裝協(xié)力廠商廣達(dá)電腦,不僅遭竊取大量網(wǎng)路數(shù)據(jù)資料,並須以加密貨幣限時(shí)支付5000萬(wàn)~1億美元。否則駭客就會(huì)在Apple新品發(fā)表會(huì)前,上網(wǎng)公布所有Apple加工設(shè)備的圖紙,以及員工和客戶的所有個(gè)人數(shù)據(jù),或?qū)⑦@些資料售予蘋(píng)果公司的競(jìng)爭(zhēng)者。
既試圖勒索Apple買回產(chǎn)品藍(lán)圖,也可能會(huì)導(dǎo)致廣達(dá)遭客戶調(diào)整訂單量,使得該公司在第一時(shí)間便啟動(dòng)資安防禦機(jī)制,與多家外部資安公司技術(shù)專家合作處理,並將所監(jiān)測(cè)到的異常網(wǎng)路狀況,通報(bào)予政府執(zhí)法部門與資安單位。
| 圖2 : 近年來(lái)駭客組織逐漸企業(yè)化和分工細(xì)密,除了開(kāi)發(fā)出更快加密及竊取資料的軟體,還為此發(fā)布新聞稿,提供下線所需工具包,事成後從贖金中支付一定比率給組織。(source:static.wixstatic.com) |
|
由此可見(jiàn),近年來(lái)駭客組織逐漸企業(yè)化和分工細(xì)密,除了開(kāi)發(fā)出更快加密及竊取資料的軟體,還為此發(fā)布新聞稿,邀請(qǐng)記者採(cǎi)訪;同時(shí)積極培訓(xùn)「下線」,提供所需工具包,包含該組織開(kāi)發(fā)的軟體、勒贖電郵範(fàn)本和如何發(fā)動(dòng)攻擊的教材,待每次網(wǎng)路攻擊事成後,就會(huì)從贖金中支付一定比率給組織。
臺(tái)灣電子設(shè)備協(xié)會(huì)(TEEIA)智慧製造促進(jìn)會(huì)主委葉勝發(fā)便指出:「隨著臺(tái)灣製造業(yè)數(shù)位轉(zhuǎn)型腳步加快,最大資源除了石油之外就是資訊,也造成資安問(wèn)題接踵而來(lái),甚至還有更多廠商的資安事件秘而不宣,一場(chǎng)無(wú)煙硝的第三次世界大戰(zhàn)早已悄悄開(kāi)打!」
如今駭客組織已不再像過(guò)去,僅單純植入釣魚(yú)軟體、木馬程式來(lái)竊取、加密受害者資料而已,還會(huì)進(jìn)一步威脅公布、轉(zhuǎn)賣其客戶資料,以圖「雙重勒索」,同時(shí)獲利。中小企業(yè)的資安防護(hù)能力卻相當(dāng)有限,所以葉勝發(fā)建議業(yè)者應(yīng)儘快盤(pán)點(diǎn)內(nèi)部資料是否安全,並細(xì)分機(jī)密等級(jí),再?zèng)Q定該投資添購(gòu)軟硬體或爭(zhēng)取外界政府、法人、IT廠商奧援。
產(chǎn)官法人齊力 落實(shí)「資安即國(guó)安」策略
政府也必須鼓勵(lì)廠商自主研發(fā)、深厚產(chǎn)業(yè)鏈結(jié)與提升資安技術(shù),才能在5+2產(chǎn)業(yè)創(chuàng)新的基礎(chǔ)上打造6大核心戰(zhàn)略產(chǎn)業(yè),讓「資安即國(guó)安」不只淪為一句口號(hào),還要讓資安產(chǎn)業(yè)的實(shí)力能被全球信賴。
經(jīng)濟(jì)部工業(yè)局近來(lái)便負(fù)責(zé)配合行政院「資安產(chǎn)業(yè)發(fā)展行動(dòng)計(jì)畫(huà)(2018-2025)」全期程目標(biāo),促進(jìn)臺(tái)灣資安產(chǎn)業(yè)規(guī)模逐年成長(zhǎng),以資安硬體和模組為大宗,資安服務(wù)次之,2020年產(chǎn)值達(dá)到新臺(tái)幣552億元,成長(zhǎng)率11.9%,還高於全球2.8%,又以「資安營(yíng)運(yùn)管理服務(wù)」、「資料與雲(yún)端應(yīng)用安全」和「資安檢測(cè)鑑識(shí)顧問(wèn)服務(wù)」成長(zhǎng)最多,成長(zhǎng)率分別為15.3%、14.5%和12.6%。
另為強(qiáng)化新興領(lǐng)域防護(hù),為5G、半導(dǎo)體等技術(shù)導(dǎo)入資安技術(shù),並打造高階實(shí)戰(zhàn)場(chǎng)域等目標(biāo),包括成立資安攻防及跨國(guó)合作機(jī)構(gòu),和完善資安高教環(huán)境。經(jīng)過(guò)2021年政府加碼補(bǔ)助後,加上其他5大核心戰(zhàn)略產(chǎn)業(yè)和國(guó)/民營(yíng)企業(yè),分別投資約20億元、83億元導(dǎo)入資安科技,預(yù)估2025年後產(chǎn)值可望上修到800億元。
工研院資通訊研究所副組長(zhǎng)卓傳育指出,經(jīng)濟(jì)部工業(yè)局約從3~4前便提出SECPAAS平臺(tái),共集結(jié)臺(tái)灣超過(guò)50家資安業(yè)者,提出80項(xiàng)解決方案,也藉此強(qiáng)化企業(yè)信任,讓資安業(yè)者進(jìn)入內(nèi)部檢視,除了已先輔導(dǎo)臺(tái)灣5G、IoT智慧製造產(chǎn)業(yè)改善資安,2020年更開(kāi)始針對(duì)臺(tái)灣面板、電子設(shè)備等先進(jìn)製造業(yè)者引導(dǎo)投入主題式研發(fā)計(jì)畫(huà),強(qiáng)化OT資安。
今年4月再針對(duì)供應(yīng)鏈資安,公布新一波主題式研發(fā)計(jì)畫(huà),每家參與的企業(yè)還要連帶上下游5家供應(yīng)協(xié)力廠商,從而瞭解彼此如何交換資料的過(guò)程及評(píng)量資安治理等級(jí),確保不會(huì)出現(xiàn)漏洞。包含:資安成熟度,協(xié)助企業(yè)評(píng)估資安需求,並提供最經(jīng)濟(jì)、有效解決方案才會(huì)有感,同業(yè)也能比較彼此分?jǐn)?shù)而良性競(jìng)爭(zhēng)。勒索軟體鑑識(shí)服務(wù),係基於企業(yè)現(xiàn)有資安團(tuán)隊(duì)能力不足,在兼顧保護(hù)隱私的前提下,由公正第三方支援,提供先期鑑識(shí)工作。等到7月臺(tái)南沙崙資安服務(wù)基地落成後,將就近服務(wù)中南部傳產(chǎn)業(yè)者。
在日前剛落幕的「CYBERSEC 2021臺(tái)灣資安大會(huì)」上,工業(yè)局再次主導(dǎo)成立「臺(tái)灣資安館」以展示更進(jìn)階的資安場(chǎng)域防護(hù)成果,包含智慧交通資安、工控安全、5G資安、與智慧工廠資安等4大情境主題。
其中於「工控安全」主題區(qū),展示石油與天然氣2套工業(yè)控制模擬系統(tǒng),結(jié)合資安攻擊情境模擬廠區(qū)的運(yùn)作流程及網(wǎng)路環(huán)境,未來(lái)還將提供從業(yè)人員測(cè)試環(huán)境,發(fā)展臺(tái)灣自主工控情境腳本及培訓(xùn)工控資安專業(yè)人才;另外設(shè)有「空氣品質(zhì)微型感測(cè)裝置」場(chǎng)域?qū)嶒?yàn)室,展示合格標(biāo)章驗(yàn)證流程與實(shí)證案例,並提供設(shè)備商技術(shù)與諮詢服務(wù)。
「智慧工廠資安」主題區(qū),則主要展示工業(yè)局去年開(kāi)始推動(dòng)-智慧製造場(chǎng)域資安強(qiáng)化的合作案,以建立開(kāi)放實(shí)測(cè)場(chǎng)域?yàn)楹诵模高^(guò)跨域結(jié)合智慧製造,發(fā)展臺(tái)灣自主資安解決方案。讓民眾及企業(yè)體驗(yàn)智慧工廠在資安事件發(fā)生「事前、事中與事後」之應(yīng)變情境,協(xié)助企業(yè)降低遭受勒索病毒事件發(fā)生的風(fēng)險(xiǎn),提升臺(tái)商回流投資的產(chǎn)線資訊安全!
| 圖3 : 經(jīng)濟(jì)部工業(yè)局針對(duì)「工控安全」主題展示工業(yè)控制模擬系統(tǒng),並結(jié)合資安攻擊情境模擬廠區(qū)的運(yùn)作流程及網(wǎng)路、測(cè)試環(huán)境,發(fā)展臺(tái)灣自主工控情境腳本及培訓(xùn)工控資安專業(yè)人才(攝影:陳念舜) |
|
製造業(yè)反求諸己 應(yīng)自主掌握OT資安能力
然而,多數(shù)企業(yè)常將資安關(guān)注焦點(diǎn)放在外部的駭客攻擊,而把資源大量投入鞏固防火牆,卻忽略了內(nèi)部資訊安全的重要性,讓有心人得以藉由內(nèi)網(wǎng)登入,輕易入侵企業(yè)內(nèi)部,竊取珍貴的商業(yè)機(jī)密,造成無(wú)法彌補(bǔ)的商業(yè)損失。
根據(jù)PMMI最新報(bào)告《2021 Cybersecurity: Assess Your Risk》指出,隨著數(shù)據(jù)收集的需求遽增,並擴(kuò)散到加工和封裝,大多數(shù)公司都朝向工業(yè)物聯(lián)網(wǎng)(IIoT)製造模式發(fā)展。許多工廠都設(shè)立了感測(cè)器,以及監(jiān)控各處數(shù)據(jù)的零組件所形成的網(wǎng)路架構(gòu)。但因?yàn)閱我涣憬M件和感測(cè)器處理效能有限,往往缺乏內(nèi)建安全防護(hù)功能。
加上生產(chǎn)線為了提高效率,同樣也是高度整合,前端通常直接連到末端流程,而收集數(shù)據(jù)的感測(cè)器也互相連接形成範(fàn)圍更廣的系統(tǒng)聯(lián)網(wǎng),若不仔細(xì)細(xì)分和監(jiān)控,單一漏洞可能很快就成為入侵公司網(wǎng)路的起點(diǎn)。因此,為了提高安全性,製造商如何掌握漏洞並加以解決,是最基本且重要的能力。
否則,從ERP管理、銷售協(xié)調(diào),再到即時(shí)專案協(xié)作,許多製造商已將雲(yún)端和邊緣運(yùn)算應(yīng)用於數(shù)據(jù)管理等處,雖然部署雲(yún)端可以解決一部份網(wǎng)路安全問(wèn)題,卻也會(huì)造成製造商過(guò)度依賴雲(yún)端服務(wù)供應(yīng)商,缺乏從安全角度正確評(píng)估雲(yún)端服務(wù)的知識(shí)。
趨勢(shì)科技揭密資安 屬於製程之一而非附加成本
趨勢(shì)科技也呼籲企業(yè)應(yīng)正視數(shù)位轉(zhuǎn)型所帶來(lái)的必要挑戰(zhàn),應(yīng)用系統(tǒng)與基礎(chǔ)架構(gòu)發(fā)生徹底改變。即除了因?yàn)榇罅筷P(guān)鍵設(shè)備連網(wǎng),導(dǎo)致IT與OT之間的界線愈趨模糊,大大提高駭客攻擊面;還有伴隨5G應(yīng)用興起的CT(Communication Technology)領(lǐng)域,都讓企業(yè)所面臨的資安管理議題加倍複雜,迫使企業(yè)不得不擴(kuò)大資安戰(zhàn)線。特別是在全球供應(yīng)鏈扮演要角的臺(tái)灣智慧製造業(yè),尤應(yīng)重新審視資安政策,依據(jù)轉(zhuǎn)型階段目標(biāo)部署完善的資安防護(hù)。
趨勢(shì)科技執(zhí)行長(zhǎng)暨共同創(chuàng)辦人陳怡樺進(jìn)一步表示,以往製造業(yè)可能認(rèn)為自己含金量不高,沒(méi)有人要攻擊自己,但現(xiàn)實(shí)的狀況已今非昔比,除了遭受攻擊的事件頻傳,過(guò)去製造業(yè)的機(jī)臺(tái)可能被認(rèn)為不是電腦,或安全隔離在網(wǎng)路之外。但她認(rèn)為:「目前隨著業(yè)界導(dǎo)入大量IT技術(shù)而變得不同,才剛剛開(kāi)始想到這些事情,距離能等到自覺(jué)並扭轉(zhuǎn)觀念,還有很長(zhǎng)的路要走。」
如今,經(jīng)過(guò)現(xiàn)今數(shù)位轉(zhuǎn)型之後,已徹底轉(zhuǎn)變了傳統(tǒng)價(jià)值鏈模型,在於「從資料到?jīng)Q策」的轉(zhuǎn)換過(guò)程,更突顯資料安全的重要性,只要有資料的地方,就必須要有安全的考量,以免發(fā)生蒐集不到、蒐集了錯(cuò)誤的資料,甚至資料被鎖住的情況,所以須在每個(gè)環(huán)節(jié)都做足資安措施。她特別舉智慧製造為例,包括從最初採(cǎi)集資料的正確性,直到打破穀倉(cāng)進(jìn)行資料連結(jié)整合及深度分析後,才能做出正確判斷,從而擬定有效策略,才能創(chuàng)造出商業(yè)價(jià)值。
陳怡樺嘗試以防疫措施比喻:「企業(yè)做數(shù)位轉(zhuǎn)型,資安的腳步也要跟上。」第一步要思考如何做好隔離,降低內(nèi)部系統(tǒng)遭感染機(jī)率;第二步要防護(hù)重要資產(chǎn),善用緊急修補(bǔ)(如虛擬補(bǔ)丁),以減少重癥發(fā)生機(jī)率;第三步要積極預(yù)防,例如更換新機(jī)臺(tái)時(shí),優(yōu)先選用有良好資安防護(hù)系統(tǒng)的設(shè)備。」除此之外,資安的轉(zhuǎn)型也需要配合企業(yè)數(shù)位轉(zhuǎn)型不同階段的目標(biāo),進(jìn)行完善的資安防護(hù)部署,才能在企業(yè)營(yíng)運(yùn)效率與數(shù)位化間取得平衡。
尤其如今臺(tái)灣更在全球製造業(yè)重組供應(yīng)鏈扮演要角,鎖定OT環(huán)境進(jìn)行攻擊的勒索病毒卻日漸增多。趨勢(shì)科技副總經(jīng)理暨工業(yè)物聯(lián)網(wǎng)公司TXOneNetworks執(zhí)行長(zhǎng)劉榮太指出,自從2019遭受勒索病毒事件發(fā)生的風(fēng)險(xiǎn),提升臺(tái)商回流投資的產(chǎn)線資訊安全!
| 圖4 : 因應(yīng)OT環(huán)境棘手的威脅情勢(shì),TXOneNetworks建議企業(yè)審慎規(guī)劃資安建設(shè),並時(shí)刻檢視既有的資安政策是否完備,仍為企業(yè)永續(xù)經(jīng)營(yíng)關(guān)鍵要點(diǎn)之一。(source:TXOneNetworks) |
|
依趨勢(shì)科技觀察2020年127個(gè)新出現(xiàn)的勒索軟體中,前10名皆以鎖定感染OT、工業(yè)控制系統(tǒng)(ICS)為攻擊目標(biāo),其中就有8個(gè)曾在OT場(chǎng)域出現(xiàn)過(guò),如此也反映出當(dāng)OT環(huán)境採(cǎi)用大量IT技術(shù),同時(shí)加速了駭客對(duì)OT環(huán)境的危害,所承受的企業(yè)責(zé)任損失,已不只是單一產(chǎn)線停工而已。
劉榮太強(qiáng)調(diào):「企業(yè)唯有正視弱點(diǎn),才能突破!」由於製造業(yè)供應(yīng)鏈上下游關(guān)係緊密,OT場(chǎng)域的機(jī)臺(tái)運(yùn)作可謂牽一髮動(dòng)全身,系統(tǒng)可停機(jī)的時(shí)間極短;加上廠內(nèi)有數(shù)以百計(jì)或老舊且未更新的設(shè)備裝置,大多數(shù)情況下皆難以執(zhí)行漏洞修補(bǔ)與系統(tǒng)更新動(dòng)作。倘若人員操作不當(dāng)疏失,以及未採(cǎi)取適當(dāng)?shù)木W(wǎng)路隔離與不安全的認(rèn)證存取等因素,再再使得工業(yè)網(wǎng)路環(huán)境暴露在巨大風(fēng)險(xiǎn)中,讓製造業(yè)的資安管理與維護(hù)陷入困境。
「因應(yīng)OT環(huán)境棘手的威脅情勢(shì),企業(yè)如何在營(yíng)運(yùn)不受干擾的情況下,打造有效的網(wǎng)路安全防護(hù),將成為製造業(yè)提高生產(chǎn)力與資安營(yíng)運(yùn)效率的關(guān)鍵。」劉榮太表示,可預(yù)見(jiàn)2021年疫情仍將持續(xù)影響全球企業(yè)營(yíng)運(yùn),工廠遠(yuǎn)端操作需求不斷提升,讓駭客擁有更多可趁之機(jī)。因此審慎規(guī)劃資安建設(shè),並時(shí)刻檢視既有的資安政策是否完備,仍為企業(yè)永續(xù)經(jīng)營(yíng)關(guān)鍵要點(diǎn)之一,才能在營(yíng)運(yùn)效率提升之餘,同時(shí)確保企業(yè)內(nèi)部的機(jī)密製程安全無(wú)虞。
由於工控環(huán)境的獨(dú)特需求,也使得企業(yè)很難找到既能保護(hù)工控環(huán)境,又能兼顧效能要求的資安防護(hù)。例如選用特徵掃瞄的防毒軟體雖然能偵測(cè)已知威脅,卻需要時(shí)時(shí)連網(wǎng)來(lái)更新病毒碼,非常不適合用於工控環(huán)境使用。而採(cǎi)用機(jī)器學(xué)習(xí)技術(shù)為基礎(chǔ)的進(jìn)階解決方案,雖然能夠迅速偵測(cè)異常狀況與未知威脅,誤判情況卻經(jīng)常發(fā)生,徒增營(yíng)運(yùn)上的困擾。
至於應(yīng)用程式控管與系統(tǒng)鎖定型的解決方案雖然較為單純,且信任名單部署起來(lái)也較容易,卻可能使得機(jī)器設(shè)備的用途僵化受限,因此只適合用途固定不變的系統(tǒng)。這些單一面向的技術(shù)雖然可滿足特定用途的需求,卻無(wú)法提供工控生產(chǎn)環(huán)境所需的兼容性:既要確保資產(chǎn)設(shè)備安全無(wú)虞、又要維持生產(chǎn)線營(yíng)運(yùn)順暢。
陳怡樺強(qiáng)調(diào):「資安不再只是獨(dú)立一個(gè)產(chǎn)業(yè),而是所有產(chǎn)業(yè)裡面該有的基本內(nèi)涵。對(duì)製造業(yè)而言,資安就是製程的一部分,千萬(wàn)不能把它想成附加的成本。」畢竟臺(tái)灣約有30%GDP都來(lái)自於製造業(yè),臺(tái)積電同時(shí)撐起了全球數(shù)位轉(zhuǎn)型的半邊天,倘若能讓臺(tái)灣製造的所有元件與成品都能納入資安要素考量,也就有助於世界數(shù)位轉(zhuǎn)型更成功、安全。期待透過(guò)提升資安的價(jià)值,能讓臺(tái)灣產(chǎn)業(yè)的地位更穩(wěn)固,讓MIT成為全球產(chǎn)業(yè)可信賴的標(biāo)誌。
**刊頭照(攝影:陳念舜)
