隨著大量資訊設備、技術運用在生產線上、產業越來越 IT 化,睿控網安執行長(TXOne Networks)暨趨勢科技副總經理 劉榮太博士說,原本在 IT 領域會發生的資安威脅,同樣在 OT 領域也會帶來風險。比起銀行、政府單位、高科技企業,臺灣傳統製造業的資安意識相對薄弱,但這很致命,因為「資安不是一個點,而是一條防線」,駭客只要找到一個漏洞,就可能造成資安威脅。
睿控網安執行長(TXOne Networks)暨趨勢科技副總經理 劉榮太博士。(圖/趨勢科技提供)
他提出一個數據,去年全球 IT 全部支出至少 3 兆 6000 億元美元,資安投資整體 1500 億美元,大概佔 4 %;但 OT 領域只算自動化、工業物聯網的支出,則接近 3000 億元美元,若假設跟 IT 一樣,資安投資佔全部支出的 4 %,那將近是 120 億元美元,但實際上的花費卻小於 30 億,這告訴我們:「全球 OT 的資安投資被低估了!」
劉榮太說,過去製造廠不太在意資安,因為沒有聯網,哪會中毒?再加上過去的機台主要為物理機械運作,不外乎就是刀具、切割、幫浦、閥門等,這些東西不外乎就是老舊、損壞,沒有所謂「中毒」這回事!但現在機械器具背後都由電腦控制,就會面臨網路攻擊的風險。
所謂的 IT、OT 聚合,對劉榮太而言,並不只是 IT、OT 串連起來,更多的是「 OT 就像 IT 了!」現今的 OT 場域也用了很多 IT 的技術,包括作業系統、網路、虛擬化、人工智慧、機器學習、邊緣計算等。因此,隨著製造業、產業越來越 IT 化,現在 OT 場域都開始透過網路連接內部、外部,原本在 IT 領域會發生的資安威脅,同樣在 OT 領域也會產生風險。 在 IT 遇到的資安攻擊, OT 同樣也會遇到。
他說,2017 年以前大家比較不關注 OT 場域的資安問題,因為過去比較多的是國家型的駭客,主要針對油水電等關鍵基礎建設進行破壞。然而 2017 年 5 月開始「WannaCry」勒索病毒肆虐,造成 2018 年台積電產線感染的嚴重資安災情,若這發生在數據中心,可能只要一秒鐘,病毒就被偵測跟消滅了,但因為是發生在生產線上設備,而機台系統又相互串連,造成一台 OT 設備中毒迅速地波及到其他機台,甚至是辦公人員使用的電腦。
WannaCry 勒索病毒的勒贖訊息。(圖/資安趨勢部落格)
此事件格外突顯 OT 場域的結構性資安議題。在 OT 領域,以往著重製造設備穩定運作,機台維護更新多須配合產線製造流程,再安排由製造設備機台廠商來執行維護與更新,而不是即時更新資安防護。為何 IT 跟 OT 有這麼大的差距?劉榮太說,IT 的資安防護早做了很多年,基本上每家公司都會配一筆預算確保場域的資安,但在 OT 多數沒有這筆預算,甚至連誰要負責都不知道。
一般公司的 IT 人員有固定的防護規劃,若突然要 IT 人員負責產業 OT 資安,很可能 IT 人員連公司的產線都沒有去過,更別說瞭解機台資訊系統;但若要產線的操作人員負責資安,他們也會感到很困擾,產線人員過去只在意產線的生產良率與效率,哪能完善規劃資安呢?
資安對於每個公司的意義其實不太一樣,企業會以資安損失規模以及是否有高機率會遭受攻擊兩項指標去衡量資安對公司的重要性,而國內銀行、政府單位、龍頭企業較為重視資安,自然防護就會做得比較完善,臺灣製造業就相對落後很多。長期觀察亞太地區中毒感染情況,中國、臺灣常常發生很多「低階錯誤」,這種錯誤在歐美是不可能發生的。
劉榮太認為,臺灣傳統製造業資安意識薄弱,這點很致命,因為資安不是一個點,而是一條防線,公司門戶有個漏洞,駭客就從這個漏洞進入。「OT 是只要病毒入侵,恐形成無法挽回的損失!」就像是沒有防護的人,還跟新冠肺炎確診者有相同足跡,幾乎就是會被感染。
「要提升國家整體的資安意識,還需要一段時間。」劉榮太說,IT 走過的經驗跟知識,都可以作為 OT 的參考。大家開始有意識加強了解 OT 的資安問題也是近 3 年的事情。本來就不可能突然間每個人都有這樣的意識,一定是從金字塔頂端的人先做,中間階層的人往上看,就會作為參考,自然而然的擴散下來。
至於會給國內企業什麼建議?劉榮太說,首先,企業一定要體認資安的重要性,當發生資安災害時,可能不只是工廠停工等損失金錢的事情,更可能是客戶資料被竊取,損失了商譽及未來的機會,甚至是設備問題造成人命、環境的災害,對產業的影響非常巨大。
再者,企業內部要協調出負責資安的專責單位,不單只是負責 IT、OT,而是要兼顧所有面向;最後,企業須了解自己內部的環境,定義關鍵領域、釐清哪一個環節出事會造成斷鏈等,才有後續提出計畫以及進行維運。
資訊技術(原文:Information Technology,縮寫:IT)
美國資訊技術協會(ITAA)定義為:以電腦為基礎之資訊系統的研究、設計、開發、應用、實現、維護或應用領域。
營運技術 (原文:Operation Technology,縮寫:OT)
工業控制系統(ICS; industrial control system)的操作和程式控制,則通常被稱為營運技術(OT)。