由下而上打造完善防護機制 西門子大幅降低OT系統資安風險
- 台北訊
-
2021年5月,美國最大燃油管線營運業者「殖民管線公司」的系統被駭客入侵,整體營運因此停擺。在台灣,科技大廠遭受惡意程式碼攻擊,導致機密資料外洩、又或者生產線停擺,時有耳聞。
這些過去只是偶發的OT系統資安事件,如今發生頻率快速增加,對此西門子製程監控產品副理謝豐成提醒製造、能源等業者,必須正視OT系統的資安問題,及早擬定對策,並善用外部專業力量,降低系統被入侵的風險。
謝豐成指出,過去OT系統屬於封閉式架構,所有的設備機台只在內部連結,並不與外部對接,被入侵的機率非常低, 因此長期以來,OT系統被駭的風險並不高,管理人員的資安意識也較為薄弱。不過進入智慧化時代,企業內部的系統開始全面整合,希望透過數據的精準掌握提升營運效能,最明顯的例子就是工業4.0。
建構工業4.0的第一步是擷取製造現場的設備數據,再將之傳送到後端IT平台進行儲存、分析,藉此制定最佳化生產策略。而當兩者開始整合後,OT即不再是封閉的系統,IT系統的資安風險也將會危害到OT。
謝豐成進一步表示,OT是企業營運的核心系統,一旦停擺就會帶來巨大損失。OT同時也是現場機台設備或是製程反應的重要控制核心,若是遭受惡意攻擊,更有可能引發人員危害。
分析駭客的攻擊手法,他指出OT系統中的部分環節,例如SCADA、DCS等系統,多採用Windows架構,此架構對駭客而言再熟悉不過,因此常被鎖定為主要攻擊點,目前主要的攻擊手法仍與IT系統相同,都是透過電子郵件或USB隨身碟入侵。
值得一提的是,這些入侵行為影響的不只有Windows平台,這些Windows平台更進一步成為跳板進而入侵到底層的PLC,竄改程式碼,這些惡意行為能導致控制器出錯,造成自動化設備誤動作,引發現場安全。
對於OT系統的資安防護,謝豐成認為企業必須要有不同認知,重新盤查OT系統可能出現的漏洞,並制定完善的資安策略。由於資安屬於高度專業,要自主打造完善的防護機制,需要投入大量資源,因此議業者可善用外部專業力量,用有限的資源,獲得高防禦能力的架構。
謝豐成以西門子為例,西門子是全球自動化指標大廠,旗下產品在各領域應用多年,在資安防護方面一直不遺餘力並累積豐富經驗,旗下產品都有完善的資安設計,像是近期剛出爐的IEC 62443,西門子即積極的導入並先後取得IEC 62443-3、IEC 62443-4認證於自身的研發、生產流程,以及所供應的產品。
西門子內部也建置了專屬團隊,廣泛且深入的研究市場上常見攻擊手法,並由此研擬出對應策略。除此之外,該公司也與市場知名的資安大廠合作,在通訊閘道器上建構高強度防火牆,如果系統被入侵,此設計可將受害區域控制在一定範圍內,避免波及整體系統。
謝豐成最後表示,無論是使用企業、設備供應商或系統整合業者,資安都是新議題,西門子可透過長期累積的經驗與旗下完整產品線,提供市場從底層機台設備、中層通訊網路、上層維運平台一應俱全的資安解決方案,除了軟硬體產品外,西門子也可協助企業評估OT系統的資安風險,業者可善用其專業力量強化防護機制,不再讓系統不設防的曝露在高危險環境下。西門子提供了工業網路安全白皮書,可隨時連上西門子網站取得。
