打造工業4.0要從管理融入安全意識
為了提高生產效率,降低生產成本,當前工業 4.0已經成為各國在智慧生產上的發展趨勢。但過去辦公室與工廠之間的各自獨立,使向來以訴求穩定為主的工廠設備,並不急著隨同辦公室的資訊化而進行升級,也讓許多因為漏洞而帶來的資安威脅較少發生。在工業4.0的前提下,工廠設備必須透過網路與企業內的資料庫相連結,這也造成原來被隔離在風險之外的工廠設備,如今也可能的被捲入資安的問題當中。
台灣資訊安全廠商翔偉資安營運長杜世鵬表示,這樣的風險的確存在,而且過去就曾經發生過。所以,要透過怎樣的安全機制來解決所面臨的資安問題,會是未來製造產業發展工業4.0上最重要的課題。杜世鵬進一步表示,前兩年一批被生產出來銷售歐美各國的網路攝影機,因為存在著資安漏洞,因此被駭客大量入侵控制後,變成DDoS阻斷式攻擊的跳板,造成不少企業的損失。這就顯示,透過這些工業4.0的感測設備,是有可能被入侵,甚至成為攻擊的幫手。
工業4.0濫觴 帶動資安風險提高
杜世鵬強調,過去的攻擊或許只是感測設備,但是如今在工業4.0的帶動下,包括資料庫MRPC、 ERP、SRM等系統都混合在一起。這使有心人士或駭客不論是要勒索贖金、或是中段製程而使企業遭受損失的目的上,都會有更加嚴重的風險。杜世鵬舉例,就有駭客在從事這一類型的攻擊時,並不會一開始就跟企業要求贖金。而是透過第一次的攻擊,除了證明自己真的有攻擊的實力之外,也藉此評估企業損失的金錢與時間,並且觀察企業修復的方式。之後,進行第二攻擊時,透過收集到的資料進行「適當」的金錢勒索。
就目前的情況來看,許多企業目前的生產設備的資安建置,都還在過去單一系統的架構下。也就是過去透過資安整合公司,為此單一系統建立資安防護。不過,在工業4.0的架構下,卻開始要將這些系統連結起來,假使資安功能配合不上,就可能會形成底層的資安漏洞,產生資安問題。所以,杜世鵬指出,要在工業4.0每個隔環節中將安全機制整合進去,方能保障資安方面的防護。
另外,杜世鵬還指出,雖然當前有許多資安廠商對於工業4.0的資訊安全都有提出相關的解決方案,但是,畢竟每一家公司的生產流程不盡相同,需要的資訊架構也不完全一樣。所以這種必須具備「Know How」的資訊安全管理方式,企業最好還是能透過諮詢顧問公司的共同合作,為企業打造客製化的服務與內容,這樣才能使得部署工業4.0的同時,不會受到資訊安全的威脅。