技術(shù)
導(dǎo)讀:隨著人工智能技術(shù)的進(jìn)步,智能化(intelligentization)已經(jīng)成為21世紀(jì)最重要的科技主軸。
隨著人工智能技術(shù)的進(jìn)步,智能化(intelligentization)已經(jīng)成為21世紀(jì)最重要的科技主軸。而智能制造主要的核心技術(shù)便是物聯(lián)網(wǎng)技術(shù)與虛實(shí)整合系統(tǒng)(Cyber-Physical System,CPS),再結(jié)合大數(shù)據(jù)分析、人工智能及云計(jì)算等技術(shù),將生產(chǎn)過程的每一個(gè)環(huán)節(jié)智能化,借此達(dá)到客制化的業(yè)務(wù)目標(biāo),以適應(yīng)外部市場(chǎng)少量多樣的需求。
過去的制造概念是追求生產(chǎn)自動(dòng)化,并以SOP(Standard Operation Procedure)標(biāo)準(zhǔn)作業(yè)流程大量生產(chǎn)公版化的產(chǎn)品。而智能制造概念則不然,為因應(yīng)消費(fèi)族群的購物觀念變動(dòng),可快速地客制化生產(chǎn)的制造方式逐漸受到擁戴,這是工業(yè)4.0當(dāng)中相當(dāng)重要的核心概念。未來的智能工廠將并不單指工業(yè)技術(shù)的提升,而是整合了技術(shù)、銷售以及產(chǎn)品體驗(yàn)等,使得制造、販?zhǔn)?、物流、售后服?wù)等商業(yè)概念連為一體,最終建構(gòu)出一個(gè)具有感知意識(shí)的智能世界,而「需求客制化」將是智能制造所追求的主要目標(biāo)之一。
快速、客制化的生產(chǎn)方式是工業(yè)4.0的核心概念
除了需求客制化外,結(jié)合大數(shù)據(jù)分析的智能制造甚至可以透過巨量數(shù)據(jù)來分析出市場(chǎng)的走向、天氣預(yù)測(cè)、原物料的數(shù)量與庫存、運(yùn)輸?shù)倪M(jìn)程及瑕疵改善等,借此精準(zhǔn)拿捏生產(chǎn)量或調(diào)度現(xiàn)有資源、減少多余成本與浪費(fèi),以此達(dá)到生產(chǎn)最佳化。[1]
快速、客制化的生產(chǎn)方式是工業(yè)4.0的核心概念
工業(yè)4.0的來臨,使得世界各國紛紛祭出政策。工業(yè)革命的發(fā)源地英國早在2008年便提出「高價(jià)值制造戰(zhàn)略」,鼓勵(lì)英國本土企業(yè)制造更多世界級(jí)的高附加價(jià)值產(chǎn)品。2013年更提出「英國工業(yè)2050年戰(zhàn)略」,為英國在2050年以前的制造業(yè)打造一份方針,其中的核心概念便以高度客制化、快速響應(yīng)消費(fèi)者需求為主。
同樣曾是工業(yè)大國的美國也不落人后,2011年聯(lián)邦政府開始啟動(dòng)「先進(jìn)制造伙伴聯(lián)盟」(AMP,Advanced Manufacturing Partnership)政策,同樣也是因應(yīng)舊有制造業(yè)概念的不適用所提出的計(jì)畫,更于2014年提出AMP 2.0,強(qiáng)調(diào)具體實(shí)施對(duì)策。其中先進(jìn)制造的核心重點(diǎn)在于,希望藉由智能制造帶來的新商業(yè)模式,使得設(shè)立于國外的廠商可以開始回流。同樣的概念也在法國綻開,就在德國正式發(fā)表工業(yè)4.0報(bào)告后,法國政府也發(fā)表了「工業(yè)新法國」的計(jì)畫,主要目的與美國相似。
除了上述老牌工業(yè)強(qiáng)國外,日本也提出了諸如「產(chǎn)業(yè)重振計(jì)畫」、「日本工業(yè)4.1J」、「社會(huì)5.0」等政策。而中國身為21世紀(jì)的制造大國,在2015年則提出了為期十年的「中國制造2025」計(jì)畫。金磚四國之一的印度同樣跟上工業(yè)4.0的潮流,祭出「印度制造計(jì)畫」以重整印度的經(jīng)商環(huán)境以及制造產(chǎn)業(yè)的問題。[2]
智能制造伴隨而來的安全問題
然而在研擬與建構(gòu)的過程中,隨著系統(tǒng)結(jié)構(gòu)的復(fù)雜度提升,信息安全風(fēng)險(xiǎn)也伴隨而來。在融合物聯(lián)網(wǎng)、大數(shù)據(jù)、云計(jì)算及人工智能等技術(shù)后的場(chǎng)域,將會(huì)擴(kuò)增出大量的資料流空間,而智能制造的主要實(shí)行方式,便是以物聯(lián)網(wǎng)作為架構(gòu)基礎(chǔ),將之應(yīng)用于制造產(chǎn)業(yè),形成「工業(yè)物聯(lián)網(wǎng)」(Industrial Internet of Things)體系。經(jīng)布建后,信息安全漏洞的分布率自然會(huì)開始上升,潛在威脅便更容易透過破口影響到工業(yè)物聯(lián)網(wǎng)系統(tǒng),使得整套系統(tǒng)即便僅有一小部分受到損毀,也會(huì)影響整體系統(tǒng)的運(yùn)作;若遭受到駭客入侵,甚至可以癱瘓整套生產(chǎn)系統(tǒng),造成龐大的金額損失及商譽(yù)的損害。
目前與智能制造相關(guān)的國際標(biāo)準(zhǔn)規(guī)范有國際自動(dòng)化學(xué)會(huì)(International Society of Automation,ISA)與國際電工委員會(huì)(International Electrotechnical Commission,IEC)頒布的ISA/IEC 62443系列標(biāo)準(zhǔn),針對(duì)工業(yè)化自動(dòng)控制系統(tǒng)(Industrial Automation Control System,IACS)的政策與流程面、系統(tǒng)安全面、元件開發(fā)面制定相關(guān)規(guī)范與指南。美國國家標(biāo)準(zhǔn)暨技術(shù)研究院(National Institute of Standards and Technology,NIST)也頒布了NIST.SP.800-82,為SCADA(Supervisory Control And Data Acquisition)、DCS(Distributed Control System)、PLC(Programmable Logic Controller )等工業(yè)控制系統(tǒng)揭橥了相關(guān)的安全指南,除了這項(xiàng)指導(dǎo)手冊(cè)外,還有諸如NIST.IR.8200、NIST.IR.8228等規(guī)范都已發(fā)布。而歐盟網(wǎng)路資訊安全局(European Union Agency for Cybersecurity,ENISA)也針對(duì)物聯(lián)網(wǎng)與網(wǎng)路安全出版許多相關(guān)指導(dǎo)建議以及標(biāo)準(zhǔn)。
工業(yè)物聯(lián)網(wǎng)面臨的信息安全問題與挑戰(zhàn)
工業(yè)物聯(lián)網(wǎng)主要專注于M2M(Machine to Machine)、CPS、大數(shù)據(jù)以及機(jī)器學(xué)習(xí)等技術(shù),也是IT(Information Technology)與OT(Operational Technology)兩大技術(shù)領(lǐng)域整合的開端。然而IT與OT本身各自早已具有數(shù)百種不同的協(xié)定與標(biāo)準(zhǔn),加上物聯(lián)網(wǎng)本身的復(fù)雜特性,將會(huì)造成網(wǎng)路安全的責(zé)任分配問題。且由于使用生命周期中涉及大量利益相關(guān)者,諸如元件供應(yīng)商可能就有數(shù)十間不等,元件分別適用不同的規(guī)范或標(biāo)準(zhǔn),設(shè)備又可能因分布在不同的地理位置而適用不同的法律約束,導(dǎo)致工業(yè)物聯(lián)網(wǎng)產(chǎn)生在標(biāo)準(zhǔn)規(guī)范上難以統(tǒng)一,造成「技術(shù)碎片化」之問題,而這些標(biāo)準(zhǔn)該如何進(jìn)行整合或協(xié)作,將會(huì)是首要面臨的挑戰(zhàn)。[4]
對(duì)資安的認(rèn)識(shí)不足會(huì)是未來工業(yè)物聯(lián)網(wǎng)的一大挑戰(zhàn)
再者,工業(yè)物聯(lián)網(wǎng)是一項(xiàng)新穎技術(shù),目前仍然在研發(fā)及測(cè)試階段,針對(duì)過去已在OT場(chǎng)域工作數(shù)十年的技術(shù)人員該如何建立足夠的工業(yè)物聯(lián)網(wǎng)相關(guān)信息安全意識(shí),挹注合適的人員教育訓(xùn)練將會(huì)是另一項(xiàng)值得研究的課題。
伴隨人員安全意識(shí)不足的問題,同樣也涉及到公司制度層面。目前仍有許多企業(yè)對(duì)于資訊安全的議題不夠重視,未來智能制造建構(gòu)后伴隨而來的風(fēng)險(xiǎn)將有別以往,然而企業(yè)的高階管理層對(duì)于信息安全的認(rèn)識(shí)不足,會(huì)是未來對(duì)工業(yè)物聯(lián)網(wǎng)的一大挑戰(zhàn)。因?yàn)檫M(jìn)行信息安全防護(hù)工作較難以察覺甚至量化其效益值,且還需投入相當(dāng)成本,故管理層容易忽視資訊安全這項(xiàng)要素,并不將信息安全的重要性與具業(yè)務(wù)價(jià)值的建設(shè)并列。這樣的弊端并不是因工業(yè)4.0的發(fā)展而出現(xiàn)的,而是一個(gè)陳舊問題。
對(duì)信息安全的認(rèn)識(shí)不足會(huì)是未來工業(yè)物聯(lián)網(wǎng)的一大挑戰(zhàn)
以上問題屬建構(gòu)階段所面臨的困難,建構(gòu)的過程中如果沒有針對(duì)這些問題做出適當(dāng)?shù)拇胧瑢⒖赡苁瓜到y(tǒng)未來承受巨大的信息安全風(fēng)險(xiǎn)。而建置成熟的工業(yè)物聯(lián)網(wǎng)即便事先排除了上述困難,也不代表風(fēng)險(xiǎn)就此消失。在大量且豐富的資料流不斷相互傳輸運(yùn)作之下,一旦發(fā)生資料外泄,抑或資料遭到惡意竄改,便會(huì)對(duì)工業(yè)物聯(lián)網(wǎng)系統(tǒng)造成不良的連鎖反應(yīng)。且智能制造將會(huì)使虛擬與實(shí)體兩個(gè)世界做出更緊密的連結(jié),如物聯(lián)網(wǎng)系統(tǒng)發(fā)生信息安全事件,對(duì)于實(shí)體世界的破壞也會(huì)相當(dāng)顯著。
由于智能制造的環(huán)境會(huì)變得更為復(fù)雜多端,加上物聯(lián)網(wǎng)系統(tǒng)本身的互聯(lián)性,使得攻擊面也將擴(kuò)大許多,除了一些非人為的風(fēng)險(xiǎn)外,還須特別注意人為造成的威脅,其中駭客入侵便是一種典型的狀況。不安全的連接端口、久未更新的元件、不完整的更新機(jī)制等,都會(huì)是駭客可能下手的破口。尤其傳統(tǒng)的工業(yè)場(chǎng)域?qū)τ诟碌慕邮芏认喈?dāng)?shù)吐洌驗(yàn)橐淮胃滤鸬耐[將會(huì)造成企業(yè)虧損,是故對(duì)于工業(yè)物聯(lián)網(wǎng)來說,安全的更新會(huì)是一項(xiàng)重要的議題。
此外,網(wǎng)路通訊管道如果疏忽了信息安全防護(hù),諸如分散式阻斷服務(wù)攻擊(Distributed Denial-of-Service attack,DDoS)、訊息竄改、竊聽、植入惡意程式等網(wǎng)路攻擊也會(huì)是駭客很可能使用的手法,這些攻擊都會(huì)造成資產(chǎn)的嚴(yán)重破壞或是資料外泄。
場(chǎng)域在轉(zhuǎn)型的過程當(dāng)中,一些老舊的設(shè)備、傳統(tǒng)的工業(yè)系統(tǒng)也會(huì)是一項(xiàng)需要關(guān)注的信息安全漏洞,在舊有系統(tǒng)的基礎(chǔ)上構(gòu)建新系統(tǒng)后,可能導(dǎo)致過時(shí)的保護(hù)措施仍然被使用,以及舊有系統(tǒng)中出現(xiàn)多年未被發(fā)現(xiàn)的未知漏洞,這可能使攻擊者找到一種新的方式來危害系統(tǒng)。[5]
最后,應(yīng)用程式在開發(fā)和設(shè)計(jì)上如果沒挹注安全開發(fā)的觀念,軟件上的漏洞也將是駭客入侵系統(tǒng)的大門。而硬件設(shè)備在設(shè)計(jì)中若沒有將信息安全元素納入,也會(huì)是攻擊者入侵的破口。從以上種種示例可以得知,工業(yè)物聯(lián)網(wǎng)可能遭受的攻擊面十分廣泛,且無論在工業(yè)物聯(lián)網(wǎng)的哪一端進(jìn)行破壞皆可能癱瘓整體系統(tǒng),最后造成的損害甚至傷亡將難以估計(jì)。[6]
工業(yè)物聯(lián)網(wǎng)信息安全解決方案
針對(duì)智能制造未來將會(huì)面臨的種種信息安全問題,仲至信息具有深度的信息安全問題解決能力,具備工業(yè)控制系統(tǒng)、連網(wǎng)設(shè)備及物聯(lián)網(wǎng)滲透測(cè)試與信息安全研究能力的團(tuán)隊(duì)。已贏得許多國際獎(jiǎng)項(xiàng),包括2020 Cybersecurity Excellence Awards(網(wǎng)路安全卓越獎(jiǎng))中的6項(xiàng)金獎(jiǎng)與1項(xiàng)銀獎(jiǎng)、亞洲最佳信息安全公司金獎(jiǎng)等,開發(fā)的信息安全產(chǎn)品也獲多國專利及國際認(rèn)可。
仲至信息取得7個(gè)信息安全檢測(cè)項(xiàng)目的ISO 17025認(rèn)可實(shí)驗(yàn)室、亞洲第一個(gè)美國CTIA授權(quán)的信息安全實(shí)驗(yàn)室,也是Amazon Alexa授權(quán)的信息安全檢測(cè)實(shí)驗(yàn)室;目前已發(fā)現(xiàn)超過40個(gè)全球首發(fā)的安全漏洞(CVE),且具備物聯(lián)網(wǎng)設(shè)備、智能電網(wǎng)、車聯(lián)網(wǎng)、嵌入式系統(tǒng)、行動(dòng)App、ICS和SCADA設(shè)備的信息安全檢測(cè)技術(shù)。
對(duì)于工業(yè)物聯(lián)網(wǎng)硬件設(shè)備可能會(huì)出現(xiàn)的信息安全漏洞,仲至信息所提供的解決方案包括:
工控產(chǎn)品或系統(tǒng)的軟、硬件信息安全檢測(cè)服務(wù),同時(shí)提供軟件安全開發(fā)咨詢服務(wù),協(xié)助廠商具備軟件安全開發(fā)能量,滿足業(yè)界與客戶對(duì)于軟硬件之信息安全要求,諸如網(wǎng)通產(chǎn)品、行動(dòng)裝置、安控、智能家電、智能汽車及物聯(lián)網(wǎng)等連網(wǎng)產(chǎn)品皆適用。
自主研發(fā)的產(chǎn)品信息安全管理系統(tǒng)「HERCULES SecFlow」、漏洞檢測(cè)自動(dòng)化工具「HERCULES SecDevice」,則是提供連網(wǎng)產(chǎn)品于設(shè)計(jì)、開發(fā)、測(cè)試及部署階段的合規(guī)自動(dòng)化安全評(píng)估工具,符合IEC 62443、OWASP TOP 10 與CWE/SANS TOP 25 等安全要求,并適用于PLC、ICS、SCADA等智能制造相關(guān)之工控元件。
以及IEC 62443、ISO 27001等顧問咨詢服務(wù)一站式的信息安全解決方案,仲至信息也擁有完整的合規(guī)相關(guān)服務(wù),能協(xié)助廠商快速取得國際標(biāo)準(zhǔn)之證書,以增加客戶的信賴度及企業(yè)商譽(yù)。另提供專業(yè)的信息安全教育訓(xùn)練,幫助技術(shù)人員建立與工業(yè)物聯(lián)網(wǎng)相關(guān)的信息安全意識(shí),以因應(yīng)未來智能制造的建置以及工業(yè)4.0時(shí)代的來臨。
2020年將會(huì)是物聯(lián)網(wǎng)技術(shù)全面布建的階段。隨著科技日新月異,人們的生活也變得越來越便利。也因科技所帶來的效益,過去數(shù)十年間各企業(yè)戮力追趕地將資訊技術(shù)深入全球各大領(lǐng)域,卻忽略長(zhǎng)期穩(wěn)定運(yùn)作所須達(dá)成的安全要求,一次次重大信息安全事故的爆發(fā)已經(jīng)證明,僅靠安裝防護(hù)軟件無法保證組織的安全以及生產(chǎn)系統(tǒng)的營運(yùn)安全。
未來智能制造的建置架構(gòu)將比現(xiàn)在大多數(shù)的生產(chǎn)架構(gòu)都要來得更為錯(cuò)綜復(fù)雜,然而水能載舟、亦能覆舟,一昧地追求創(chuàng)新科技所帶來的營利和效果,卻忽略背后隱藏的巨大風(fēng)險(xiǎn),那么信息安全威脅終會(huì)重蹈覆轍,成為一顆不定時(shí)炸彈,一但觸發(fā),損害勢(shì)必更勝以往,智能制造所帶來的裨益也將化為烏有。
若在危害發(fā)生以前便做好完善的信息安全管理措施及方案,且人員具備足夠的信息安全意識(shí),軟硬件設(shè)備皆在開發(fā)時(shí)便將資安要素納入考量,那么智慧制造將會(huì)是一紙美好的藍(lán)圖,也會(huì)是值得你我共同努力的未來。
Reference:
[1] CommonWealth,http://topic.cw.com.tw/2016industry4.0/article.html.
[2] ENISA,“Industry 4.0 - CybersecurityChallenges and Recommendations”,2019.05。
[3] ENISA,“Good Practices for Security ofInternets of Things”,2018.11。
[4] Trend Micro Inc. “The IoT Attack Surface:Threats and Security Solutions”,2019.05。https://www.trendmicro.com/vinfo/us/security/news/internet-of-things/the-iot-attack-surface-threats-and-security-solutions.