避免工厂成为黑客组织的提款机 智能制造网安防护不可轻忽

在经过多年智能制造的推广以及工业4.0的导入，或多或少地现在的生产现场已经不再是过往的无网络环境的状况。取而代之的是，更多的信息设备以及网络连线环境。当然，带来的是更方便、更明确的生产管理能力，但同样的也产生了一个过往不太被生产单位注意到的问题 – 信息安全。

网络攻击可直接影响产线作业　制造业不可轻忽

太远或太早的网安事件不提，光是台湾在2020年，就已经在工业生产领域发生多起网络攻击事件。2020年6月就有自动化设备商-盟立被勒索软件攻击，导致数据库无法存取；2020年6月也有PCB生产大厂欣兴电子遭到病毒感染，造成信息系统与网站断讯。以上两个事件都是发生在6月，虽然看起来并不严重，且厂商也都在短时间内就恢复正常运作。但可不是每一次事件都能这麽简单解决。

比较重大的网络攻击事件，发生在2020年7月，台湾Garmin惊传遭骇，不但导致Garmin客服中心、软件更新服务以及Garmin Connect等服务暂停。更令人担忧的是，此次网络攻击还导致Garmin产线必须停工两天。

虽然Garmin在官网表示，「没有迹象显示这次服务中断对用户数据有任何影响，包括活动数据、移动支付或其他个资。」但可以确定的是，这次的攻击已经对Garmin的生产线造成实质的影响，从公布的信息是停工两天，但实际上的影响可能更广。

除了台湾之外，工业生产大国日本，也没有幸免于攻击之外。今年6月，根据国外媒体NBC的报导以及本田的公告指出，本田(Honda)部分产线因公司发现「电脑网络毁损造成无法连线」，不但取消部分的工厂作业，也直接影响了本田日常的业务运作。

以上的案例，均只是2020年大约两个月左右的部分案例。而且令人忧心的不止是数量的问题，更需要注意的是，由于智能制造的导入，现在黑客只需要造成服务器或网络服务中止，就可以直接影响到企业最重要的商业活动 – 生产。

这个在过去的生产环境是不会发生的，过去产线的机台大多没有连接上网络(或仅是内部独立的网络)，黑客的网络攻击，很难直接影响到工厂的生产行为。现在则完全不一样了，黑客只要能找到系统的漏洞，他就可以在线上直接影响到工厂运作，对一些大型制造业来说，工厂光是停摆一天，直接或间接的损失可能都是几百万美元在计算的，更不用说产线无预警停工，会直接影响到客户对制造业者的信任。

工业控制环境复杂  网安解决方案部署难度高

工业生产环境与一般信息服务设备的环境最大的不同在于，大多数的生产环境所使用的设备，可能都还存在10年前甚至15年前的设备。而上面在运行的操作系统，可能还是WindowsXP或其他专属操作系统。

而更麻烦的事情是，太久的设备往往已经找不到原始的设备制造商，所以如果要进行任何系统的修补或调整，可能都还找不到适合的窗口可以询问与沟通。而在这样的情况下，制造业者可能就会选择不进行系统修补，毕竟现在设备还能使用，谁也不敢保证，这个系统修补执行下去，设备如果不能动了，该怎麽复原？！

老旧工业电脑的系统修补问题，已经有点麻烦。但工控领域最麻烦的是，很多设备的主要控制器，都是使用可程序逻辑控制器(Programmable Logic Controller；PLC)。PLC担任工业生产设备的主控角色已经有长达三四十年的历史，它的价格不贵且扩充性与系统稳定性均非常符合工业生产的需求。但最大的问题在于，PLC在设计之初，主要考量系统通讯效率与可用性，但并没有将信息安全机制直接内建于系统上。

「多数人认为工控环境只有工业电脑是有网安风险的，而PLC则没有，但事实上完全不是这样！」竣盟科技总经理郑加海表示，其实PLC在各种功能与系统作用上，是可以直接视为一台电脑的(或是称为有特殊用途的电脑)，因此各种电脑的攻击，大多也都有可能发生在PLC上。过往PLC没有被攻击，最可能的原因只是因为，过往的生产环境并没有连接网络，再加上过去PLC的通讯介多又杂，黑客要攻击PLC成本过高且效益太低。

举例来说，PLC运作的模式主要是透过在PLC内的存储器，存放与修改各种生产参数或指令，然后进行生产设备的控制动作。如果PLC在撰写程序或系统建构时，没有建构适当的权限控管的话。黑客只需要透过线上电脑，取得PLC所在网络的控制权时，黑客就有可能可以直接修改PLC存储器的生产参数，进而使生产设备产生错误动作或是使得良率大幅下降。造成生产线不得不停工找出良率下降的原因，最糟糕的情况下还可能造成工安意外。

诱捕系统与智能关连式分析系统  加强现有产线安全防护

那面对这麽复杂的工控环境，我们能做的安全防护有哪些呢？首先，若是在新建的生产环境，在设计之初，最好就将安全防护的实作在环境内，而IEC 62443就是一个非常好的生产环境规划实作的参考标准。透过这个标准的指引，新设的生产线能全面地架构出一个具备良好安全基础的环境。

但如果我的环境已经是生产多年的生产线怎麽办呢？这时候除了最基本需要架构的防火强、入侵侦测系统等基本IT边界防御设备之外，更可以透过「诱捕系统」以及「智能关连式分析系统」来建立起安全的防护网。

简单的说，诱捕系统就是一个独立于真实生产线的一个「虚拟生产环境」，这个「虚拟生产环境」在正常作业下，是不会被任何设备或系统存取的，但外部的黑客在对生产环境进行攻击时，就有可能会攻击到「虚拟生产环境」。这时我们就可以知道这个存取的行为，非常有可能是黑客攻击。

除诱捕系统之外，「智能关连式分析系统」能持续针对产线的网络行为进行分析。尤其是当诱捕系统发现不正常存取时，更能针对性地进行黑客行为的记录与分析，然后通知人员进行必要的网安防护作为。让黑客在进行攻击前部署时，我们就直接切断攻击来源或是进行生产线的隔离动作等等。

透过这样的机制，我们不需要冒着高风险去更动产线现有设备的程序或架构，而是采用外部或周边防护的方式，针对现有的设备进行安全防护。降低工厂因为黑客攻击而产生的损失。

网安通报与产业联防机制　持续更新防御机制

各式各样的网安防护技术与设备非常多，但如何面对日新月异的网络攻击模式呢？「落实网安通报与产业联防机制，是面对未来新型攻击不确定性的最佳策略之一」郑加海强调。透过自动化的通报系统以及全面实时的产业网安战情联防机制，才能在一个新的攻击模式出现后，实时地进行防护环境的调整与对应，确保自家生产环境受到攻击的风险降到最低。