隨著人工智能技術(shù)的進(jìn)步����,智能化(intelligentization)已經(jīng)成為21世紀(jì)最重要的科技主軸���。而智能制造主要的核心技術(shù)便是物聯(lián)網(wǎng)技術(shù)與虛實(shí)整合系統(tǒng)(Cyber-Physical System��,CPS)���,再結(jié)合大數(shù)據(jù)分析、人工智能及云計(jì)算等技術(shù)����,將生產(chǎn)過程的每一個(gè)環(huán)節(jié)智能化,借此達(dá)到客制化的業(yè)務(wù)目標(biāo)���,以適應(yīng)外部市場(chǎng)少量多樣的需求。
過去的制造概念是追求生產(chǎn)自動(dòng)化��,并以SOP(Standard Operation Procedure)標(biāo)準(zhǔn)作業(yè)流程大量生產(chǎn)公版化的產(chǎn)品���。而智能制造概念則不然���,為因應(yīng)消費(fèi)族群的購(gòu)物觀念變動(dòng)�,可快速地客制化生產(chǎn)的制造方式逐漸受到擁戴���,這是工業(yè)4.0當(dāng)中相當(dāng)重要的核心概念����。未來的智能工廠將并不單指工業(yè)技術(shù)的提升�,而是整合了技術(shù)、銷售以及產(chǎn)品體驗(yàn)等�,使得制造、販?zhǔn)?、物流、售后服?wù)等商業(yè)概念連為一體���,最終建構(gòu)出一個(gè)具有感知意識(shí)的智能世界��,而「需求客制化」將是智能制造所追求的主要目標(biāo)之一����。
快速��、客制化的生產(chǎn)方式是工業(yè)4.0的核心概念
除了需求客制化外,結(jié)合大數(shù)據(jù)分析的智能制造甚至可以透過巨量數(shù)據(jù)來分析出市場(chǎng)的走向�、天氣預(yù)測(cè)、原物料的數(shù)量與庫(kù)存����、運(yùn)輸?shù)倪M(jìn)程及瑕疵改善等,借此精準(zhǔn)拿捏生產(chǎn)量或調(diào)度現(xiàn)有資源��、減少多余成本與浪費(fèi)��,以此達(dá)到生產(chǎn)最佳化����。[1]
快速、客制化的生產(chǎn)方式是工業(yè)4.0的核心概念
工業(yè)4.0的來臨�,使得世界各國(guó)紛紛祭出政策。工業(yè)革命的發(fā)源地英國(guó)早在2008年便提出「高價(jià)值制造戰(zhàn)略」���,鼓勵(lì)英國(guó)本土企業(yè)制造更多世界級(jí)的高附加價(jià)值產(chǎn)品���。2013年更提出「英國(guó)工業(yè)2050年戰(zhàn)略」,為英國(guó)在2050年以前的制造業(yè)打造一份方針���,其中的核心概念便以高度客制化���、快速響應(yīng)消費(fèi)者需求為主。
同樣曾是工業(yè)大國(guó)的美國(guó)也不落人后�,2011年聯(lián)邦政府開始啟動(dòng)「先進(jìn)制造伙伴聯(lián)盟」(AMP,Advanced Manufacturing Partnership)政策��,同樣也是因應(yīng)舊有制造業(yè)概念的不適用所提出的計(jì)畫�����,更于2014年提出AMP 2.0��,強(qiáng)調(diào)具體實(shí)施對(duì)策��。其中先進(jìn)制造的核心重點(diǎn)在于�,希望藉由智能制造帶來的新商業(yè)模式,使得設(shè)立于國(guó)外的廠商可以開始回流����。同樣的概念也在法國(guó)綻開,就在德國(guó)正式發(fā)表工業(yè)4.0報(bào)告后��,法國(guó)政府也發(fā)表了「工業(yè)新法國(guó)」的計(jì)畫���,主要目的與美國(guó)相似��。
除了上述老牌工業(yè)強(qiáng)國(guó)外�,日本也提出了諸如「產(chǎn)業(yè)重振計(jì)畫」、「日本工業(yè)4.1J」���、「社會(huì)5.0」等政策�。而中國(guó)身為21世紀(jì)的制造大國(guó)���,在2015年則提出了為期十年的「中國(guó)制造2025」計(jì)畫���。金磚四國(guó)之一的印度同樣跟上工業(yè)4.0的潮流,祭出「印度制造計(jì)畫」以重整印度的經(jīng)商環(huán)境以及制造產(chǎn)業(yè)的問題����。[2]
智能制造伴隨而來的安全問題
然而在研擬與建構(gòu)的過程中,隨著系統(tǒng)結(jié)構(gòu)的復(fù)雜度提升����,信息安全風(fēng)險(xiǎn)也伴隨而來。在融合物聯(lián)網(wǎng)���、大數(shù)據(jù)����、云計(jì)算及人工智能等技術(shù)后的場(chǎng)域��,將會(huì)擴(kuò)增出大量的資料流空間���,而智能制造的主要實(shí)行方式����,便是以物聯(lián)網(wǎng)作為架構(gòu)基礎(chǔ)�����,將之應(yīng)用于制造產(chǎn)業(yè)���,形成「工業(yè)物聯(lián)網(wǎng)」(Industrial Internet of Things)體系���。經(jīng)布建后�,信息安全漏洞的分布率自然會(huì)開始上升����,潛在威脅便更容易透過破口影響到工業(yè)物聯(lián)網(wǎng)系統(tǒng)��,使得整套系統(tǒng)即便僅有一小部分受到損毀,也會(huì)影響整體系統(tǒng)的運(yùn)作��;若遭受到駭客入侵����,甚至可以癱瘓整套生產(chǎn)系統(tǒng)����,造成龐大的金額損失及商譽(yù)的損害。
目前與智能制造相關(guān)的國(guó)際標(biāo)準(zhǔn)規(guī)范有國(guó)際自動(dòng)化學(xué)會(huì)(International Society of Automation���,ISA)與國(guó)際電工委員會(huì)(International Electrotechnical Commission,IEC)頒布的ISA/IEC 62443系列標(biāo)準(zhǔn)�,針對(duì)工業(yè)化自動(dòng)控制系統(tǒng)(Industrial Automation Control System�,IACS)的政策與流程面、系統(tǒng)安全面���、元件開發(fā)面制定相關(guān)規(guī)范與指南�。美國(guó)國(guó)家標(biāo)準(zhǔn)暨技術(shù)研究院(National Institute of Standards and Technology��,NIST)也頒布了NIST.SP.800-82���,為SCADA(Supervisory Control And Data Acquisition)、DCS(Distributed Control System)��、PLC(Programmable Logic Controller )等工業(yè)控制系統(tǒng)揭橥了相關(guān)的安全指南��,除了這項(xiàng)指導(dǎo)手冊(cè)外����,還有諸如NIST.IR.8200��、NIST.IR.8228等規(guī)范都已發(fā)布����。而歐盟網(wǎng)路資訊安全局(European Union Agency for Cybersecurity,ENISA)也針對(duì)物聯(lián)網(wǎng)與網(wǎng)路安全出版許多相關(guān)指導(dǎo)建議以及標(biāo)準(zhǔn)。
工業(yè)物聯(lián)網(wǎng)面臨的信息安全問題與挑戰(zhàn)
工業(yè)物聯(lián)網(wǎng)主要專注于M2M(Machine to Machine)�、CPS、大數(shù)據(jù)以及機(jī)器學(xué)習(xí)等技術(shù)�,也是IT(Information Technology)與OT(Operational Technology)兩大技術(shù)領(lǐng)域整合的開端。然而IT與OT本身各自早已具有數(shù)百種不同的協(xié)定與標(biāo)準(zhǔn),加上物聯(lián)網(wǎng)本身的復(fù)雜特性,將會(huì)造成網(wǎng)路安全的責(zé)任分配問題。且由于使用生命周期中涉及大量利益相關(guān)者���,諸如元件供應(yīng)商可能就有數(shù)十間不等�,元件分別適用不同的規(guī)范或標(biāo)準(zhǔn)��,設(shè)備又可能因分布在不同的地理位置而適用不同的法律約束�����,導(dǎo)致工業(yè)物聯(lián)網(wǎng)產(chǎn)生在標(biāo)準(zhǔn)規(guī)范上難以統(tǒng)一���,造成「技術(shù)碎片化」之問題�����,而這些標(biāo)準(zhǔn)該如何進(jìn)行整合或協(xié)作��,將會(huì)是首要面臨的挑戰(zhàn)��。[4]
對(duì)資安的認(rèn)識(shí)不足會(huì)是未來工業(yè)物聯(lián)網(wǎng)的一大挑戰(zhàn)
再者����,工業(yè)物聯(lián)網(wǎng)是一項(xiàng)新穎技術(shù),目前仍然在研發(fā)及測(cè)試階段,針對(duì)過去已在OT場(chǎng)域工作數(shù)十年的技術(shù)人員該如何建立足夠的工業(yè)物聯(lián)網(wǎng)相關(guān)信息安全意識(shí)�,挹注合適的人員教育訓(xùn)練將會(huì)是另一項(xiàng)值得研究的課題���。
伴隨人員安全意識(shí)不足的問題����,同樣也涉及到公司制度層面。目前仍有許多企業(yè)對(duì)于資訊安全的議題不夠重視����,未來智能制造建構(gòu)后伴隨而來的風(fēng)險(xiǎn)將有別以往,然而企業(yè)的高階管理層對(duì)于信息安全的認(rèn)識(shí)不足���,會(huì)是未來對(duì)工業(yè)物聯(lián)網(wǎng)的一大挑戰(zhàn)。因?yàn)檫M(jìn)行信息安全防護(hù)工作較難以察覺甚至量化其效益值�����,且還需投入相當(dāng)成本�����,故管理層容易忽視資訊安全這項(xiàng)要素,并不將信息安全的重要性與具業(yè)務(wù)價(jià)值的建設(shè)并列�����。這樣的弊端并不是因工業(yè)4.0的發(fā)展而出現(xiàn)的,而是一個(gè)陳舊問題����。
對(duì)信息安全的認(rèn)識(shí)不足會(huì)是未來工業(yè)物聯(lián)網(wǎng)的一大挑戰(zhàn)
以上問題屬建構(gòu)階段所面臨的困難,建構(gòu)的過程中如果沒有針對(duì)這些問題做出適當(dāng)?shù)拇胧瑢⒖赡苁瓜到y(tǒng)未來承受巨大的信息安全風(fēng)險(xiǎn)。而建置成熟的工業(yè)物聯(lián)網(wǎng)即便事先排除了上述困難��,也不代表風(fēng)險(xiǎn)就此消失。在大量且豐富的資料流不斷相互傳輸運(yùn)作之下,一旦發(fā)生資料外泄�,抑或資料遭到惡意竄改��,便會(huì)對(duì)工業(yè)物聯(lián)網(wǎng)系統(tǒng)造成不良的連鎖反應(yīng)。且智能制造將會(huì)使虛擬與實(shí)體兩個(gè)世界做出更緊密的連結(jié)�����,如物聯(lián)網(wǎng)系統(tǒng)發(fā)生信息安全事件,對(duì)于實(shí)體世界的破壞也會(huì)相當(dāng)顯著��。
由于智能制造的環(huán)境會(huì)變得更為復(fù)雜多端�,加上物聯(lián)網(wǎng)系統(tǒng)本身的互聯(lián)性,使得攻擊面也將擴(kuò)大許多�����,除了一些非人為的風(fēng)險(xiǎn)外��,還須特別注意人為造成的威脅�����,其中駭客入侵便是一種典型的狀況���。不安全的連接端口��、久未更新的元件�����、不完整的更新機(jī)制等�,都會(huì)是駭客可能下手的破口��。尤其傳統(tǒng)的工業(yè)場(chǎng)域?qū)τ诟碌慕邮芏认喈?dāng)?shù)吐?��,因?yàn)橐淮胃滤鸬耐[將會(huì)造成企業(yè)虧損����,是故對(duì)于工業(yè)物聯(lián)網(wǎng)來說��,安全的更新會(huì)是一項(xiàng)重要的議題�����。
此外,網(wǎng)路通訊管道如果疏忽了信息安全防護(hù),諸如分散式阻斷服務(wù)攻擊(Distributed Denial-of-Service attack,DDoS)、訊息竄改����、竊聽�����、植入惡意程式等網(wǎng)路攻擊也會(huì)是駭客很可能使用的手法���,這些攻擊都會(huì)造成資產(chǎn)的嚴(yán)重破壞或是資料外泄。
場(chǎng)域在轉(zhuǎn)型的過程當(dāng)中,一些老舊的設(shè)備、傳統(tǒng)的工業(yè)系統(tǒng)也會(huì)是一項(xiàng)需要關(guān)注的信息安全漏洞���,在舊有系統(tǒng)的基礎(chǔ)上構(gòu)建新系統(tǒng)后,可能導(dǎo)致過時(shí)的保護(hù)措施仍然被使用,以及舊有系統(tǒng)中出現(xiàn)多年未被發(fā)現(xiàn)的未知漏洞,這可能使攻擊者找到一種新的方式來危害系統(tǒng)。[5]
最后����,應(yīng)用程式在開發(fā)和設(shè)計(jì)上如果沒挹注安全開發(fā)的觀念,軟件上的漏洞也將是駭客入侵系統(tǒng)的大門。而硬件設(shè)備在設(shè)計(jì)中若沒有將信息安全元素納入�����,也會(huì)是攻擊者入侵的破口。從以上種種示例可以得知,工業(yè)物聯(lián)網(wǎng)可能遭受的攻擊面十分廣泛,且無論在工業(yè)物聯(lián)網(wǎng)的哪一端進(jìn)行破壞皆可能癱瘓整體系統(tǒng)�����,最后造成的損害甚至傷亡將難以估計(jì)��。[6]
工業(yè)物聯(lián)網(wǎng)信息安全解決方案
針對(duì)智能制造未來將會(huì)面臨的種種信息安全問題,仲至信息具有深度的信息安全問題解決能力,具備工業(yè)控制系統(tǒng)、連網(wǎng)設(shè)備及物聯(lián)網(wǎng)滲透測(cè)試與信息安全研究能力的團(tuán)隊(duì)����。已贏得許多國(guó)際獎(jiǎng)項(xiàng),包括2020 Cybersecurity Excellence Awards(網(wǎng)路安全卓越獎(jiǎng))中的6項(xiàng)金獎(jiǎng)與1項(xiàng)銀獎(jiǎng)、亞洲最佳信息安全公司金獎(jiǎng)等,開發(fā)的信息安全產(chǎn)品也獲多國(guó)專利及國(guó)際認(rèn)可。
仲至信息取得7個(gè)信息安全檢測(cè)項(xiàng)目的ISO 17025認(rèn)可實(shí)驗(yàn)室�����、亞洲第一個(gè)美國(guó)CTIA授權(quán)的信息安全實(shí)驗(yàn)室����,也是Amazon Alexa授權(quán)的信息安全檢測(cè)實(shí)驗(yàn)室;目前已發(fā)現(xiàn)超過40個(gè)全球首發(fā)的安全漏洞(CVE)�,且具備物聯(lián)網(wǎng)設(shè)備、智能電網(wǎng)���、車聯(lián)網(wǎng)��、嵌入式系統(tǒng)�����、行動(dòng)App����、ICS和SCADA設(shè)備的信息安全檢測(cè)技術(shù)����。
對(duì)于工業(yè)物聯(lián)網(wǎng)硬件設(shè)備可能會(huì)出現(xiàn)的信息安全漏洞,仲至信息所提供的解決方案包括:
工控產(chǎn)品或系統(tǒng)的軟��、硬件信息安全檢測(cè)服務(wù)�����,同時(shí)提供軟件安全開發(fā)咨詢服務(wù),協(xié)助廠商具備軟件安全開發(fā)能量��,滿足業(yè)界與客戶對(duì)于軟硬件之信息安全要求�,諸如網(wǎng)通產(chǎn)品、行動(dòng)裝置�����、安控�����、智能家電��、智能汽車及物聯(lián)網(wǎng)等連網(wǎng)產(chǎn)品皆適用��。
自主研發(fā)的產(chǎn)品信息安全管理系統(tǒng)「HERCULES SecFlow」��、漏洞檢測(cè)自動(dòng)化工具「HERCULES SecDevice」�����,則是提供連網(wǎng)產(chǎn)品于設(shè)計(jì)���、開發(fā)����、測(cè)試及部署階段的合規(guī)自動(dòng)化安全評(píng)估工具����,符合IEC 62443、OWASP TOP 10 與CWE/SANS TOP 25 等安全要求�,并適用于PLC、ICS�、SCADA等智能制造相關(guān)之工控元件。
以及IEC 62443��、ISO 27001等顧問咨詢服務(wù)一站式的信息安全解決方案���,仲至信息也擁有完整的合規(guī)相關(guān)服務(wù)���,能協(xié)助廠商快速取得國(guó)際標(biāo)準(zhǔn)之證書,以增加客戶的信賴度及企業(yè)商譽(yù)��。另提供專業(yè)的信息安全教育訓(xùn)練�����,幫助技術(shù)人員建立與工業(yè)物聯(lián)網(wǎng)相關(guān)的信息安全意識(shí),以因應(yīng)未來智能制造的建置以及工業(yè)4.0時(shí)代的來臨����。
2020年將會(huì)是物聯(lián)網(wǎng)技術(shù)全面布建的階段。隨著科技日新月異�,人們的生活也變得越來越便利。也因科技所帶來的效益��,過去數(shù)十年間各企業(yè)戮力追趕地將資訊技術(shù)深入全球各大領(lǐng)域����,卻忽略長(zhǎng)期穩(wěn)定運(yùn)作所須達(dá)成的安全要求,一次次重大信息安全事故的爆發(fā)已經(jīng)證明����,僅靠安裝防護(hù)軟件無法保證組織的安全以及生產(chǎn)系統(tǒng)的營(yíng)運(yùn)安全����。
未來智能制造的建置架構(gòu)將比現(xiàn)在大多數(shù)的生產(chǎn)架構(gòu)都要來得更為錯(cuò)綜復(fù)雜,然而水能載舟�����、亦能覆舟����,一昧地追求創(chuàng)新科技所帶來的營(yíng)利和效果���,卻忽略背后隱藏的巨大風(fēng)險(xiǎn),那么信息安全威脅終會(huì)重蹈覆轍����,成為一顆不定時(shí)炸彈,一但觸發(fā)����,損害勢(shì)必更勝以往,智能制造所帶來的裨益也將化為烏有����。
若在危害發(fā)生以前便做好完善的信息安全管理措施及方案,且人員具備足夠的信息安全意識(shí)����,軟硬件設(shè)備皆在開發(fā)時(shí)便將資安要素納入考量,那么智慧制造將會(huì)是一紙美好的藍(lán)圖���,也會(huì)是值得你我共同努力的未來��。
Reference:
[1] CommonWealth�,http://topic.cw.com.tw/2016industry4.0/article.html.
[2] ENISA,“Industry 4.0 - CybersecurityChallenges and Recommendations”����,2019.05。
[3] ENISA���,“Good Practices for Security ofInternets of Things”��,2018.11����。
[4] Trend Micro Inc. “The IoT Attack Surface:Threats and Security Solutions”���,2019.05���。https://www.trendmicro.com/vinfo/us/security/news/internet-of-things/the-iot-attack-surface-threats-and-security-solutions.
