【文/葉小慧 攝影/李謙和 圖片提供/IBM】
IBM作為資訊產業的長期領導者、跨國科技與服務諮詢公司,生產並銷售硬體、軟體與解決方案,並且為系統架構建置和網路代管提供產品、諮詢與技術服務。IBM旗下的IBM資訊安全事業部(IBM Security)提供整合式企業資安產品與服務,每天在全球130多個國家與地區監測700億次資安事件,且已獲得超過1萬項資安專利,近年則將科技製造業的OT (Operational Technology)資安防護列為推廣服務首要目標之一。
很多企業總認為做資安防護,是不是砸錢就可以買到心安?「資安沒有萬靈丹,而是一步一腳印的東西。」IBM資訊安全部門全球威脅情報防禦產品協理謝明君十分肯定地回答。由於各產業的特性、組織結構、預算,以及可承受的營運風險等條件大不同,謝明君坦言,「安全防護不像做餅乾一樣規格化,因為每個企業的需求跟情境不盡相同,很難有一體適用的資安解決方案。」
以製造業為例,從研發、製造到上下游供應鏈廠商,需要從相關的資料、識別、威脅情報、甚至是裝置本身的落差問題進行評估,來決定哪些是優先強化項目。時效也很重要,「資安基本上不能有時差。」串聯所有資訊,即時更新,對資訊長或資安人員才有足夠的參考價值。
沒出事≠沒被駭
謝明君也指出企業端常有的迷思,「沒發生資安事件≠沒有被感染,事實上駭客的潛伏期很長,從1年到4∼5年的都有,甚至企業從頭到尾都不知道。」其次,「不要相信自己都沒事,也不要認為自己(的防護)已經做到百分百。資安防護只有更好,沒有最好。」既然連網問題多,乾脆斷網吧!這樣總不會被駭了吧?謝明君直言「沒這回事!」雖然為了保護重要資料,企業會運用「氣隙」(Air Gap)技術將其與網路斷開連結,但仍然有專家研究出破解方式,並沒有絕對保險的做法。
對許多企業來說,資安事件是不能說的祕密,一旦消息走漏將對公司形象造成重大打擊,因此謝明君認為,「資安風險就是商業風險。」企業領導者必須盡快覺知到這一點,有些老闆的心態是交給IT或資安長就搞定,但資安認知與防護不能只靠少部分人努力,而是全組織的共同任務。像資安政策往往會包含員工與各級單位要遵守的許多規範,如果組織成員有便宜行事的態度就容易讓企業的防線破功;要做資安也會有添購軟硬體等需求,唯有不同單位,例如:營運、財務等不同單位都認同資安的重要與必要,願意全力給予資安單位或專案支持,企業對外的抵禦力才有機會變得健全。
拉起OT防護線
IBM資訊安全部門至今在台灣已服務超過200家以上客戶,包括各大製造業多種產品線,隨著萬物聯網的趨勢到來,製造業積極朝工業4.0轉型,在OT領域開始引入IT方案,以提高生產效率、改善工廠營運。然而,落實製造自動化、智慧化後,IT與OT彼此的串聯介接成為常態,無論軟硬體的虛實整合,或產線機台與機台間的高度串聯,資安威脅跟著不再限於IT領域,工廠生產製造系統的安全防護正亮起紅燈。但OT的安全防護如何拉到與IT一致的水準?特別是對製造業而言,OT設備一旦被駭,損失將難以估計。
謝明君舉例說明,「像是製藥業通常是連續製程,一站接一站沒有回頭路,當一批貨走錯路,可能讓藥品遭到污染。幸運的話在品管階段就報廢掉,但也有可能最後流到市面上,演變成藥物安全問題。再看電池製造業,一旦生產線上有問題沒被偵測到,生產的電池可能反應不靈敏、壽命短,甚至會有爆炸問題。」
但以台灣半導體業為例,設備機台通常是整廠輸入,從生產機台、系統、協定到介面整套購買,資本支出也相對較高,這是由於機台的任何數據變動都將影響良率的判讀,基於生產線穩定運作的考量,非必要的情況下也不允許變動。
正因如此,許多設備機台常維持出廠時安裝的舊版作業系統,業者既不敢輕易將作業系統升級,也未能落實更新漏洞修補程式,形同毫無設防。一旦機台不幸被駭,就會迅速造成生產停擺,良率、出貨量乃至機台稼動率等表現都會受到衝擊,繼而反映在財報上,重重衝擊整個企業組織。
從工廠機台到整個生產線管理,以製造業而言,這部分所產生的資料量不僅最多,也最為關鍵。該資料不但是研發製程與工廠營運重要的依據,也是企業董事會或業務管理者進行後續佈局與規劃的決策基礎。無論資安事件的起因是透過網路專線感染,或機台定期維修時的軟體更新失控,即使只是一個尚未造成嚴重損失的威脅,仍可能因為資料在生產網絡中、甚至是供應鏈上下游廠商間不斷交換,傳遞錯誤的情報,最後導致整體失敗的決策。因此,「針對OT,最重要的就是安全,還有系統和數據的可靠性。」謝明君十分明快的做出結論。
那麼,製造業面臨的資安威脅究竟有哪些?歐盟於2017年針對製造業提出OT資安白皮書(Communication Network Dependencies for ICS/SCADA Systems),該報告觸及能源油水電業、電子製造業、汽車航太業、醫療設備業到製藥業,並分析對工業界的工業控制系統(Industrial Control Systems, ICS)、可程式邏輯控制器(Programmable Logic Controller, PLC)、資料蒐集與監控系統(Supervisory Control and Data Acquisition, SCADA)常見的攻擊手法,謝明君舉出其中3種最容易受到攻擊的情境。
一部機台都不能少
第1種是在整個生產流程上,直接把機台所處區段封鎖,讓機台無法與控制工作站連線,導致機台無法正常運作;第2種是改變機台的感測器初始值,假設某部分機器的轉速,舉例而言,原本允許的是每分鐘1,400轉,經駭客篡改調高到超過轉速臨界值,就有可能造成故障、爆炸等問題;第3種是修改或破壞生產流程的標準管控機制。
以製藥業為例,通常是完成一個製程後就會搭配量測檢測關卡,假設駭客針對感測器動手腳,比如將偵測藥品上的灰塵容許數從原先設定的10個改成20個,再加上最末端的品質控管參數也被修改的情況下,廠商在不知不覺間就連續生產了大量有問題的藥品,甚至直到流出市面還完全沒有察覺。
想針對這些資安威脅一一排除,首先要回歸到台灣製造業的現實面來思考,謝明君在與各家廠商交流時發現,原本製造機台設備在出廠時可能僅設定15∼20年的使用年限,但機台用了十幾年後,在設備還能使用的情況下,如果要購置全新的機台,價位十分昂貴,是否要報廢就是個艱難的決定,在這期間就得面臨原廠不再提供修補程式(Patch)的問題。企業常面臨的狀況是運用活絡的二手交易、租賃市場取得機台器材等,在缺乏原廠維護的情況下,僅能抱著僥倖心態維持產線的運作。
另外,因為製造生產線上機台類型眾多,有些業者認為只要把防護重心放在特定的重要機台,例如:半導體製程的黃光區、蝕刻區即可,謝明君強調,整個廠區其實是一個整體,資安防備「一個都不能少,任何一個機台都不能輕忽!」
除此之外,事件應變(Incident Response)的工作非常重要,要做好最周全的準備及最壞的打算,當「萬一有一天被駭」的突發狀況來時,也才能及時因應,將損失與影響降到最低。
找到對的夥伴
除了利用軟硬體搭建起資安防護系統,如何防範人為疏失也越來越重要。根據2019年IBM X-Force資安威脅報告指出,在2018年外洩的27億筆資料中,有9億9,000萬筆是源自於雲端伺服器配置不當。謝明君分析,人的因素可以分為有意和無心。比方機台設備商進行軟體更新時感染病毒通常是無心造成,因此須關注線上作業員或製程工程師的操作有沒有遵循SOP?如何把防呆機制做得淋漓盡致?
惡意部分也得防範,內部人員惡意行為可能造成中斷生產、智慧財產權遭竊、損害商譽、將敏感資料洩漏給第三方等,造成嚴重危害。IBM的解決方案是透過使用者行為分析(User Behavior Analytics, UBA)與QRadar安全情報管理平台整合,運用安全情報管理平台的日誌與流量資料,快速偵測出異常行為並評定使用者風險分數,列出須進行調查的人員或新增到觀察名單當中,「確保每一個動作都是對的人,在對的時間、對的地方、做對的事情。」
不過,作為第三方的資安防護解決方案提供者,謝明君直言因為資安的敏感性,有時聽到廠商轉述夥伴的狀況「生產線出問題了3天沒解決,能否找到過去紀錄良好、技術底子深厚且還具備產業領域知識的夥伴或團隊來救援?」卻無法提供更多細節,謝明君也只能提出概略的建議,其實都已經慢了好幾步。
謝明君認為,不論是企業打算在內部成立專責單位,或尋求外部資安夥伴,領導團隊的決心和意識都扮演重要的驅動角色,資安長必須將想法與財務長、營運長進行溝通,「要站在管理階層的立場講出他們在乎的話。」從對方角度思考可能的產能利用率、資本支出、對財報可能的衝擊,才能達成一致的意識與決心。
當企業處於資安專業人才暫時不足的轉換期,也可以藉由IBM的服務或顧問團隊,從分析公司營運特性著手,先一步建構客製化資安防護解決方案。
例如:IBM推出的IBM X-Force Exchange威脅情報共同平台,以及X-Force C-TOC行動作業中心,能夠加以分析各項指標得到高階威脅情資,並立刻建議最佳化的因應措施,包括將情資送到IBM的安全免疫系統中樞QRadar,或透過標準介面與客戶既有的資安環境整合介接,形成協同運作的資安防護網。
產業新商機的崛起
面對萬物聯網時代的到來,謝明君認為除了人人都要更關注資安威脅以外,它同時也帶來產業的新機會。
像是電子產業及半導體業過去以ODM/OEM模式為主,原本已提供一條龍式的製造生產服務,如果能趁著這波資安升級,同時融合安全防護、個資法、資料保護法等重要元素,率先加入設計服務或生產服務當中,就能將威脅與風險轉為製造業勝出的助力。
【完整內容請見《能力雜誌》2019年10月號,非經同意不得轉載、刊登】