中华电信
2018AIoT

打造工业4.0要从管理融入安全意识

  • 郑斐文

为了提高生产效率,降低生产成本,当前工业 4.0已经成为各国在智能生产上的发展趋势。但过去办公室与工厂之间的各自独立,使向来以诉求稳定为主的工厂设备,并不急著随同办公室的信息化而进行升级,也让许多因为漏洞而带来的资安威胁较少发生。在工业4.0的前提下,工厂设备必须透过网络与企业内的资料库相连结,这也造成原来被隔离在风险之外的工厂设备,如今也可能的被卷入资安的问题当中。

台湾信息安全厂商翔伟资安营运长杜世鹏表示,这样的风险的确存在,而且过去就曾经发生过。所以,要透过怎样的安全机制来解决所面临的资安问题,会是未来制造产业发展工业4.0上最重要的课题。杜世鹏进一步表示,前两年一批被生产出来销售欧美各国的网络摄影机,因为存在著资安漏洞,因此被黑客大量入侵控制后,变成DDoS阻断式攻击的跳板,造成不少企业的损失。这就显示,透过这些工业4.0的感测设备,是有可能被入侵,甚至成为攻击的帮手。

工业4.0滥觞  带动资安风险提高

杜世鹏强调,过去的攻击或许只是感测设备,但是如今在工业4.0的带动下,包括资料库MRPC、 ERP、SRM等系统都混合在一起。这使有心人士或黑客不论是要勒索赎金、或是中段制程而使企业遭受损失的目的上,都会有更加严重的风险。杜世鹏举例,就有黑客在从事这一类型的攻击时,并不会一开始就跟企业要求赎金。而是透过第一次的攻击,除了证明自己真的有攻击的实力之外,也藉此评估企业损失的金钱与时间,并且观察企业修复的方式。之后,进行第二攻击时,透过收集到的资料进行「适当」的金钱勒索。

就目前的情况来看,许多企业目前的生产设备的资安建置,都还在过去单一系统的架构下。也就是过去透过资安集成公司,为此单一系统建立资安防护。不过,在工业4.0的架构下,却开始要将这些系统连结起来,假使资安功能配合不上,就可能会形成底层的资安漏洞,产生资安问题。所以,杜世鹏指出,要在工业4.0每个隔环节中将安全机制集成进去,方能保障资安方面的防护。

另外,杜世鹏还指出,虽然当前有许多资安厂商对于工业4.0的信息安全都有提出相关的解决方案,但是,毕竟每一家公司的生产流程不尽相同,需要的信息架构也不完全一样。所以这种必须具备「Know How」的信息安全管理方式,企业最好还是能透过咨询顾问公司的共同合作,为企业打造客制化的服务与内容,这样才能使得部署工业4.0的同时,不会受到信息安全的威胁。