大家都知道在年輕時要先幫自己保保險,日後發生意外才能有保障,但是中小企業主們在追求提升工廠的效能與良率時,有記得幫自己的「工廠」保保險嗎?
工業 4.0 的浪潮下,許多製造業追求整合現有的製造資源、大數據,藉此降低成本、建立能夠快速反應市場需求、精準生產的商業模式,然而想要達到此目標,就必須整合過去在製造業中涇渭分明的操作科技(OT)與資訊科技(IT),也因為如此,網路安全開始出現破口,工廠停機、網路攻擊的問題層出不窮,甚至短短幾天就會造成工廠上億元損失。
OT 、 IT 整合後網路攻擊事件頻傳,台灣中小型製造業更需建立資安意識!
洛克威爾自動化的資安顧問李承恩指出,位於製造現場的 OT 系統,過去僅需在工廠內部自行運作,因此採取封閉性的網路架構,加上當時各家 OT 廠商也都使用不同的工控協議,駭客較難突破。然而工業 4.0 強調 OT 與 IT 兩大系統整合,讓 OT 端的數據可以無縫串流至 IT 系統,藉由數據的儲存與分析,制定出最佳化生產策略。當 OT 與 IT 對接後,過去封閉的系統也因此出現破口,有心人士便可從 IT 端侵入製造系統。
過往其中一起著名的 OT 資安危機是 2010 年伊朗核電廠的資安事件,這起攻擊是駭客從有病毒的 USB 設備感染核電廠中的 SCADA 系統侵入,進而放置可改寫 PLC 程式代碼的 Stuxnet 電腦蠕蟲到 PLC 內,在這其中,負責採擷電廠設備數據的 SCADA 屬於 IT 平台, PLC 則為 OT 設備,因此這是典型由 IT 端侵入 OT 系統的資安事件。這種 OT 資安事件初期攻擊對象都以電廠為主,不過在工業 4.0 概念普及後,製造業的資安攻擊也逐漸增多, 2018 年出現台灣半導體廠機台被植入 WannaCry 病毒,短短幾天內就造成新台幣 52 億元的損失。
這些資安事件讓國內外 OT 系統與製造大廠警覺資安的重要性,開始著手強化相關建置,然而李承恩提到,相對之下台灣中小企業的警覺性仍然不足,中小企業主往往先將資源分配在產線效能與成本的控制上,無暇顧及資安。但也就是因為資源有限,許多中小型製造業只有一條產線,一旦遭到攻擊,整個工廠運作將因此停擺,所帶來的傷害遠大於大型製造業,因此中小企業更應有完善的資安機制,以保護有限的資產。
依循 NIST 五大步驟,打造 IT 、 OT 完整資安框架
洛克威爾自動化資安顧問黃彥凱提到,資安需要一定程度的專業與成本,再加上工業 4.0 仍屬新概念,中小企業要打造完善的資安建置並不容易,對此他提到美國國家標準暨技術研究院(NIST)已提出相關規範,讓 OT 跟 IT 端能迅速建立起資安框架。
NIST 所提出的五大步驟,分別為資產的識別、保護、監測、回應與恢復。他建議各企業在導入資安系統前,必須先盤點產線中的資產,並對系統進行整改,使其具備足夠的保護能力,再來才會導入即時監測設備,隨時掌控系統的運作狀態,並設定遭受攻擊時的因應與回復策略。黃彥凱指出,洛克威爾自動化在這五大步驟都可因應企業資源的多寡做調整,至於要在資安機制投入多少成本,他則建議企業可從攻擊可能帶來的損失角度進行評估。
資安問題「可視化」, IIOT 專家洛克威爾自動化打造工業 4.0 製造業專屬的資安系統
而從 OT 背景起家的洛克威爾自動化,一直以來都是以 NIST 五大步驟協助企業建置 OT 資安系統,同時面對市場上不同 OT 系統彼此之間不相容的通訊協定,洛克威爾自動化透過網路威脅偵測服務(Threat Detection Services)將多數知名品牌的控制器納入,並藉由可視化的介面識別、監控、管理製造現場的所有機台,當產線遭受攻擊,網路威脅偵測可立即啟動當初設定的反應步驟,將傷害控制到最小化。
李承恩指出,雖然市面上已經有許多資安系統,但 OT 與 IT 的系統設計考量完全不同,如果將 IT 的思維套用到 OT 系統,將會產生難以估計的災難。他表示 IT 系統在面對資安事件時的首要重點是系統的隱密性,其次是完整性,最後才是可靠性,而 OT 系統則是完全相反,當資安事件發生時,機台如果立即停機,極有可能造成工安意外,因此必須先維持系統的穩定運作,再接續之後的停機動作,最後才是逐步排除入侵病毒。
這些做法看似容易,但要落實到製造現場,業者必須具備深厚的 OT 專業與經驗,網路威脅偵測服造業者建立完整的資安系統,台灣中小企業可洽詢洛克威爾自動化,雙方共同合作打造效能與安全兼具的 OT 系統!
(本文提供合作夥伴轉載。首圖來源:Pexels)
你可能感興趣
大步跨進工業 4.0!洛克威爾解決方案,加速台廠「工業物聯網」智慧轉型
IIoT 時代的資安準則:微軟如何協助製造廠搶先轉型工業 4.0?
【Cathy 陪你打造智慧工廠】戰技篇:IT、OT 高效整合核心 2 招
