工業(yè)物聯(lián)網(wǎng)面臨的信息安全挑戰(zhàn)

隨著人工智能技術的進步，智慧化(Intelligentization)已經(jīng)成為21世紀最重要的科技主軸。而智能制造主要的核心技術便是物聯(lián)網(wǎng)技術與虛實整合系統(tǒng)(Cyber-Physical System，CPS)，再結合大數(shù)據(jù)分析、人工智能及云端運算等技術，將生產(chǎn)過程的每一個環(huán)節(jié)智慧化，藉此達到客制化的業(yè)務目標，以適應外部市場少量多樣的需求。

而智能制造的主要實行方式便是以物聯(lián)網(wǎng)作為架構基礎，將之應用于制造產(chǎn)業(yè)，形成「工業(yè)物聯(lián)網(wǎng)」(Industrial Internet of Things)體系。經(jīng)布建后，信息安全弱點的分布率自然會開始上升，潛在威脅便更容易透過破口影響到工業(yè)物聯(lián)網(wǎng)系統(tǒng)，使得整套系統(tǒng)即便僅有一小部分受到損毀也會影響整體系統(tǒng)的運作;若遭受到駭客入侵，甚至可以癱瘓整套生產(chǎn)系統(tǒng)，造成龐大的金額損失及商譽的損害。

建構階段：IT與OT如何協(xié)作、高階管理層的認知

工業(yè)物聯(lián)網(wǎng)主要專注于M2M(Machine to Machine)、CPS、大數(shù)據(jù)以及機器學習等技術，也是IT(Information Technology)與OT(Operational Technology)兩大技術領域整合的開端。然而IT與OT本身各自早已具有數(shù)百種不同的協(xié)定與標準，加上物聯(lián)網(wǎng)本身的復雜特性，將會造成網(wǎng)絡安全的責任分配問題。且由于使用生命周期中涉及大量利益相關者，諸如元件供應商可能就有數(shù)十間不等，元件分別適用不同的規(guī)范或標準;設備又可能因分布在不同的地理位置而適用不同的法律約束，導致工業(yè)物聯(lián)網(wǎng)產(chǎn)生在標準規(guī)范上難以統(tǒng)一、造成「技術碎片化」的問題，而這些標準該如何進行整合或協(xié)作，將會是首要面臨的挑戰(zhàn)。

再者，工業(yè)物聯(lián)網(wǎng)是一項新穎技術，目前仍然在研發(fā)及測試階段。針對過去已在OT場域工作數(shù)十年的技術人員該如何建立足夠的工業(yè)物聯(lián)網(wǎng)相關信息安全意識，選擇合適的人員教育訓練將會是另一項值得研究的課題。

伴隨人員安全意識不足的問題，同樣也涉及到公司制度層面。目前仍有許多企業(yè)對于資訊安全的議題不夠重視，未來智能制造建構后伴隨而來的風險將有別以往，然而企業(yè)的高階管理層對于信息安全的認識不足，會是未來對工業(yè)物聯(lián)網(wǎng)的一大挑戰(zhàn)。因為進行信息安全防護工作較難以察覺甚至量化其效益值，且還需投入相當成本，故管理層容易忽視資訊安全這項要素，并不將信息安全的重要性與具業(yè)務價值的建設并列。

以上問題屬建構階段所面臨的困難，建構的過程中如果沒有針對這些問題做出適當?shù)拇胧瑢⒖赡苁瓜到y(tǒng)未來承受巨大的信息安全風險。

成熟階段：遭受攻擊面向十分廣泛

而建設成熟的工業(yè)物聯(lián)網(wǎng)即便事先排除了上述困難，也不代表風險就此消失。在大量且豐富的資料流不斷相互傳輸運作之下，一旦發(fā)生資料外泄或資料遭到惡意竄改，便會對工業(yè)物聯(lián)網(wǎng)系統(tǒng)造成不良的連鎖反應。且智能制造將會使虛擬與實體兩個世界做出更緊密的連結，如物聯(lián)網(wǎng)系統(tǒng)發(fā)生信息安全事件，對于實體世界的破壞也會相當顯著。

駭客入侵

由于智能制造的環(huán)境會變得更為復雜多端，加上物聯(lián)網(wǎng)系統(tǒng)本身的互聯(lián)性，使得攻擊面也將擴大許多。除了一些非人為的風險外，還須特別注意人為造成的威脅，其中駭客入侵便是一種典型的狀況。不安全的連接端口、久未更新的元件、不完整的更新機制…等都會是駭客可能下手的破口。尤其傳統(tǒng)的工業(yè)場域對于更新的接受度相當?shù)吐洌驗橐淮胃滤鸬耐[將會造成企業(yè)虧損，因此對于工業(yè)物聯(lián)網(wǎng)來說，安全的更新會是一項重要的議題。

此外，網(wǎng)絡通訊管道如果疏忽了信息安全防護，諸如分散式阻斷服務攻擊(Distributed Denial-of-Service attack，DDoS)、訊息竄改、竊聽、植入惡意程式等網(wǎng)絡攻擊也會是駭客很可能使用的手法，這些攻擊都會造成資產(chǎn)的嚴重破壞或是資料外泄。

老舊設備、軟/硬體設計都可能存在「破口」

場域在轉型的過程當中，一些老舊的設備、傳統(tǒng)的工業(yè)系統(tǒng)也會是一項需要關注的信息安全弱點。在舊有系統(tǒng)的基礎上構建新系統(tǒng)后，可能導致過時的保護措施仍然被使用，以及舊有系統(tǒng)中出現(xiàn)多年未被發(fā)現(xiàn)的未知漏洞，這可能使攻擊者找到一種新的方式來危害系統(tǒng)。

最后，應用程式在開發(fā)和設計上如果沒挹注安全開發(fā)的觀念，軟件上的漏洞也將是駭客入侵系統(tǒng)的大門。而硬體設備在設計中若沒有將信息安全元素納入，也會是攻擊者入侵的破口。從以上種種示例可以得知，工業(yè)物聯(lián)網(wǎng)可能遭受的攻擊面十分廣泛，且無論在工業(yè)物聯(lián)網(wǎng)的哪一端進行破壞皆可能癱瘓整體系統(tǒng)，最后造成的損害甚至傷亡將難以估計。

重視信息安全智能制造將實現(xiàn)美好未來

隨著科技日新月異，過去數(shù)十年間各企業(yè)戮力追趕地將資訊技術深入全球各大領域，卻忽略長期穩(wěn)定運作所須達成的安全要求，一次次重大信息安全事故的爆發(fā)已經(jīng)證明，僅靠安裝防護軟件無法保證組織的安全以及生產(chǎn)系統(tǒng)的營運安全，必須全面考量信息安全的整體解決方案。

未來智能制造的建設架構將比現(xiàn)在大多數(shù)的生產(chǎn)架構都要來得更為錯綜復雜，然而水能載舟、亦能覆舟，一昧地追求創(chuàng)新科技所帶來的營利和效果卻忽略背后隱藏的巨大風險，那么信息安全威脅終會重蹈覆轍，成為一顆不定時炸彈，一但觸發(fā)，損害勢必更勝以往，智能制造所帶來的裨益也將化為烏有。

若在危害發(fā)生以前便做好完善的信息安全管理措施及方案，且人員具備足夠的信息安全意識，軟、硬體設備皆在開發(fā)時便將信息安全要素納入考量，那么智能制造將會是一紙美好的藍圖，也會是值得你我共同努力的未來。

(本文轉自安防知識網(wǎng)臺灣站)