數據當道,不少製造業業者們都開始把握良機,逐步將廠內設備對接外部資訊系統(IT),除了讓產線數據能進一步分析數據以提升產值與品質,也能為下一步晉升智慧工廠或工業 4.0 的轉型目標做預熱。但 Moxa 也提出,當工廠的 OT 系統開始與 IT 做對接,資安風險也將隨之遽增,近年幾乎每年都會傳出 OT 遭駭的資安事件,頻率雖不高,但影響與衝擊都相當驚人。
今年(2021)二月,美國佛州淨水廠就遭駭客入侵,將水中的氫氧化鈉濃度從 100 ppm 調高了 111 倍,所幸及時發現,否則將對成千上萬名佛州居民造成嚴重影響。此外 2020 年日本本田汽車也曾因網路攻擊,造成日本、美國、土耳其、印度的產線停擺。
「當越多管道可以連到 OT 環境,資安風險就越高,但很多企業並未意識到這一點,也沒有足夠的安全防禦機制,」Moxa 產品行銷經理郭彥徵說,這些存在於 OT 環境的安全風險,不只會影響工業現場的正常運作,甚至可能成為駭客攻入 IT 環境的跳板,造成企業更巨大的損失。因此,以公司整體資安政策為出發點,打造一個安全的工業網路,已成為製造業數位轉型的重中之重。
♦ TO 延伸閱讀:79% 的老闆對工業物聯網資安缺乏信心!企業如何無痛加強系統防禦力? | TechOrange 科技報橘
同是資安防護,IT 適合打疫苗、OT 適合戴口罩
既然要追求公司資安政策的一致性,在打造 OT 資安防禦網時勢必需要 IT人員的參與,而在 OT 與 IT 資安防禦思維上,郭彥徵特別點出二大差異。
第一、OT 應以系統穩定性為優先考量。
在 IT 領域,隨著技術升級而汰舊換新系統,是工作中的日常,但 OT 領域將系統穩定性列為第一優先,當生產設備上線開始運作後,任何的升級與更新都意味著風險,因此 IT 人員只能在既有的設備和架構內做好資安防護。
第二、多數OT終端裝置無法安裝資安解決方案。
IT 習慣從端點、網路、主機三個層面規劃防禦機制,像是在端點安裝防毒軟體已成 IT 資安的基礎,但 OT 環境生產設備的類型與廠牌相當多元化,很多設備並不適合安裝端點防禦解決方案,就算可以安裝,OT 管理者也容易擔心是否會影響到設備的正常運作。
「OT 設備如果沒辦法打疫苗(載防毒軟體),那就戴口罩,從網路端做好防護措施,加強風險防禦能力,」郭彥徵以抵擋 COVID-19 病毒的方式做比喻,而工控系統資安管理標準IEC 62443 亦是如此建議,端點防禦可以做就做,不然就從網路層面著手,這是最快強化 OT 防禦能力的做法。
目前最常見的網路安全設備就是防火牆,郭彥徵以 Moxa 過往協助企業強化 OT 網路安全的經驗指出,OT 領域在建置防火牆時的考量點,在應用與採購端各有不同應注意的重點。
OT 系統的資安眉角多,連「廠房作業環境」條件都要考慮
先就應用面來看,OT 防火牆在設定時,以通訊協議種類(Protocol)和網路設定檔(Profile)為主,在安裝位置上則沒有統一標準,因為 OT 系統通常採環型網路架構,必須視實際場域實際狀況和資安目標,決定要置放在環型網路的哪一個位置。
再就設備採購面來談,OT 場域相當嚴苛,很多都是高溫、灰塵多、振動大的環境,在採購防火牆時,一定要考量到設備適應惡劣環境的能力,此外,OT 防火牆多半是和 PLC(可程式化邏輯控制器 Programmable logic controller)以及 SCADA 溝通,資料傳輸量小,所以在採購時,並不需要追求高頻寬,應以穩定度和時效性為優先考量,例如 Moxa 之前推出保證過濾時間在 0.05 個毫秒內的高階防火牆,就是針對製造業高時效的需求而設計。
「不只如此,Moxa 網路安全產品還有很多設計,都是站在 OT 應用角度去思考,」郭彥徵說,包括具備抗電磁干擾、抗粉塵、寬溫、耐振動等能力、支援環型網路架構及工業用通訊協議等設計,相較一般商業用防火牆,更適合架構於 OT 環境。
♦ TO 延伸閱讀:想積極轉型工業 4.0?Moxa 四零四科技:建議企業先做好廠房設備與網路的「透視」系統
只有防火牆還不夠,不同交換機功能讓防禦再補強
在符合工業現場應用需求外,Moxa 還具備解決方案多元化的特色,可以滿足 OT 環境各種資安需求。郭彥徵進一步說明,在防火牆之上,Moxa 提供次世代防火牆的選擇,滿足資安需求較高的企業,在防火牆之下,Moxa 則提供各種不同類型的網路交換機,讓 OT 網路透過交換機 ACL 設定補強資安防禦網。像某橡樛手套製造工廠,Moxa 協助其建置防火牆並開啟 NAT(Network Address Translation,IP 轉譯)功能,再結合交換機 ACL 機制,成功地把工廠產線串在一起。
迎向智慧製造的未來,製造業者在做升級轉型規劃時,應該要從整體組織面來考量,由 IT 與 OT 人員共同做好 OT 資安規劃,打造安全的 OT 與 IT 防禦網,讓轉型計劃發揮真正的效益。
(本文提供合作夥伴轉載,首圖來源:Moxa)
Moxa MXview,讓使用者在安全檢視模式即可檢視網路設備的安全狀態,填寫頁面底部表單即可免費體驗。
>> 點我免費體驗 <<
