【2019 邊緣運算論壇】工廠已成駭客最愛目標,建立完整資安組織與 SOP 是台廠當務之急

(Credit: TechOrange 科技報橘攝影)
工廠已成駭客最愛目標,建立完整資安組織與 SOP 是台廠當務之急(Credit: TechOrange 科技報橘攝影)

因應中美貿易戰而造成的台商回流潮,經濟部鼓勵台商在台投資、帶動產業智慧升級,而制定了多項投資抵減配套措施,TechOrange 日前舉辦 2019 邊緣運算論壇,以「 AI + IoT 備戰台商回流潮, IIoT 智慧升級」為題,邀請 AI、工業物聯網等業界專家分享產業升級趨勢與觀察,在智慧工廠的資安防護方面,TechOrange 邀請到趨勢科技台灣暨香港總經理洪偉淦以及資策會資安科技研究所所長毛敬豪,到場分析 IoT 時代的 OT 資安防護思維。

趨勢科技:工廠連網後,已成為駭客眼中「超簡單目標」

隨著工廠開始連網,工控系統也成了駭客攻擊的目標,趨勢科技台灣暨香港總經理洪偉淦指出,工廠過去是個隔離的環境,而現在只要是名詞裡有「智慧」的,就是能連網的,而且還是「物聯」, 因此資安問題也被帶到工控系統裡。

洪偉淦表示,工廠要面對物聯網時代的資安管理挑戰, 必須要先把「資安」的角色找出來 ,工廠管理者需要知道:公司的服務如果被破壞了,會帶來多少損失,也就是知道 防禦的重點 要在哪裡,此外也要知道 外面現在有多少威脅 ,駭客又是如何展開攻擊的,才能進一步找到解決方案。

趨勢科技台灣暨香港總經理洪偉淦
趨勢科技台灣暨香港總經理洪偉淦。(Credit: TechOrange 科技報橘攝影)

洪偉淦指出,早在 2010 年的時候就已經出現過為工控系統「量身打造」的病毒,後來則開始出現 NotPetya、WannaCry 等勒索病毒。

這些病毒的原意並非針對工廠,而是因為過去工廠的連網程度不高,因此資安問題未被重視,現在工廠連網後,成了駭客們眼中的「超簡單目標」,這些蠕蟲在網路上到處找漏洞,勒索贖金,造成工廠癱瘓與損失,洪偉淦直言,未來這種攻擊只會更多不會減少。

最重要的是資安思維與意識的建立,以及攻擊發生時的 SOP

洪偉淦指出,此種類型資安攻擊正在快速成長,他也在現場分析了駭客的公司思維:

1、攻擊成功的機會多不多?
2、有沒有錢賺?
3、這樣的做法能不能重複使用?

這也是為何在 WannaCry 之後有越來越多駭客攻擊都在打工廠。追根究柢,在工控的環境裡做資安有什麼大問題? 洪偉淦說,最大的問題就是「文化衝擊」,因為 IT、OT 不大好合作。

所有工廠都在追求產能,安全與產能一定有衝突,「兩台一樣的電腦,一個有裝防毒軟體、一個沒裝,肯定是沒裝防毒軟體的跑得更快」,同理,資安很難在工廠裡被使用或重視的原因就是如此。 但若資安沒做好,產能卻可能降到 0。

洪偉淦說,工廠必須要認知到,資安事件不可能完全被防禦,因此工廠管理者需要思考的是: 當資安事件發生時,如何讓工廠還能持續運作,不至於讓產能直接變 0。

工廠導入資安防護的第二個問題,則是工廠很多系統都過於老舊,因為這些設備的成本動輒上千萬、甚至上億,而作業系統經過十年、二十年後,不可能會是安全的,原因有三,一個是已經沒有人在維護;一個是沒辦法修補,這可能因為廠商已經不在;第三個則是 IT、OT 人員「資安」責任不清的問題。

洪偉淦說,也因為如此,過去處理過很多工廠的資安事件,都是這樣的情形: 懂資安的人無法進工廠處理,但在工廠的人不懂資安 ,最後拖了許久都無法處理。還有一個則是沒有可見度的問題,機台裡有多少電腦,電腦裡有哪些作業系統都不知道的情況下,趨勢科技也無法救急。

洪偉淦分析,工廠要建立資安機制的原則,包括人員、流程、組織都必須考量。在組織的部分,必須要成立組織負責管理資安,將 IT、OT 人員都納進來,並且把角色定義清楚,就連供應鏈也要有一套 SOP 確保安全。

5G 時代工廠資安事件比火災、地震更嚴重,台廠資安準備仍不足

資策會資安科技研究所毛敬豪所長則分享 5G 資安戰略,他形容,「資安現在已經會嚴重影響到工廠的營運風險,就像火災、地震,比例甚至更高!」

資策會資安科技研究所毛敬豪
資策會資安科技研究所毛敬豪。(Credit: TechOrange 科技報橘攝影)

毛敬豪指出,過去不乏出現許多資安事件,是因為工廠某個人的個人疏失就造成巨大的損失,例如一個有毒的 USB,就可能讓公司損失好幾億。所以所謂「資安」不光是個人資料問題,因為一個人的所做所為已有可能影響到整個公司,甚至所有供應鏈,不能等閒視之。

毛敬豪說,台灣的中小企業即便有資安意識,也沒有「預算」跟「資源」, 些對於資安的需求 ,台灣中小企業的準備顯然是不夠的 ,這是因為從前這個問題不存在,但卻因為工廠連網、自動化、智慧化而產生,而不是因為有新的病毒或新型的駭客威脅。

毛敬豪認為,現在台廠遇到的問題,並不是有沒有意識到或者要不要做,癥結點反而在「怎麼著手做」,尤其在工控領域環境很複雜,所以首先要做的就是「評估」, 先檢視工廠的資產跟風險性,再來談解決方案。

毛敬豪說,現在資策會在與工廠宣導智慧製造時,就是透過宣傳教育,讓工廠管理者可以對風險的概略方向有所了解,並且讓技術人員執行最小幅度的調整,找到自己在工廠資安防護中的角色定位。

(本文提供合作夥伴轉載,首圖、文內所有照片 Credit: TechOrange 科技報橘攝影)

延伸閱讀

【2019 邊緣運算論壇】備戰台商回流潮!台灣智慧工廠升級關鍵絕不只是「技術」


量子運算的出現,是現行安全機制的「轉機」還是「末日」?

搶先報名《2019 未來科技展》量子加密場次 2019 年正式進入量子運算應用元年,技術成熟後就能破解現有密碼系統,入侵企業電腦,干擾工廠運作與竊取商業機密! 找到可以抵禦量子運算的加密技術,是強化企業、國家資安的必修主題。 《即刻點我報名》,掌握量子加密趨勢!

點關鍵字看更多相關文章: