在物聯網概念的帶動下,連網逐漸成為嵌入式系統的重要功能,尤其是製造、交通等過去較為封閉的場域,現在都需要與IT系統整合,讓資訊可以被進一步利用,創造出更多價值,不過這也讓OT系統產生以往少有的資安問題,因此在智慧化時代,讓嵌入式系統的效能與安全得以兼具,就成為系統設計者必須嚴正面對的問題。
圖1 : 網路攻擊已成為嵌入式系統業者必須嚴正面對的問題。(source:DFLabs) |
|
觀察這幾年的發展,包括工業領域在內的各種製造系統、醫療產業的行動醫療車與電子藥櫃、金融機構的匯款系統、ATM…等嵌入式設備,都因連網成為必要功能,成為駭客的攻擊目標,金融業方面,2016年7月第一銀行爆發ATM盜領案後,2017年10月遠東銀行國際匯款交易系統又遭駭客製造假交易,醫療領域則是最近的事情,2019年9月台灣醫療院所發生勒索軟體攻擊的情事,共有22家醫院受到勒索病毒影響,部分醫院主機被駭客當成跳板,經由VPN網路進行攻擊。製造業部份,近期最大事件就是2018年8月台積電半導體產線中毒,造成52億元損失,成為台灣有史以來損失最大的資安事件。
資安防範走向法制化
從架構面來看,全球智慧製造大約從2016年開始落地,導致這幾年工業控制系統的資安漏洞數量逐年上升,光是2018年就比2017年增加了30%,其中又以HMI/SCADA與工業網通設備為主,其次則是PLC與遠距終端機裝置(Remote terminal unit;RTU),這三大項目都是製造業近年來與IT系統整合的OT設備,在多數導入廠商在資安方面的資源投入不足下,讓駭客有機可乘,而由於機械產業是台灣第三個年產值破兆的產業,一旦資安事件發生的頻率過高,將危及國家經濟,因此除了廠商必須努力強化安全機制之外,政府業也積極協助,解決資安問題。
嵌入式聯網系統的資安問題不只在導入企業,也包括產品外銷至歐美市場的嵌入式設備業者,以美國為例,近年來該國供應鏈安全環境日益嚴峻,根據NIST(國家標準暨技術研究院)的報告,有98%的製造商於2016~2018兩年間曾有生產中斷事件,因此造成經濟損失超過2500萬美元者高達55%,而生產中斷有24%是來自網路攻擊,整體而言,2018年來自供應鏈的攻擊事件就成長了78%。因此,NIST在2018年發布了資安框架(Cybersecurity Framework;CSF)1.1版本,此版本是在2014年發布首版,目的是為了協助政府與企業進行資安威脅識別與管理,因應嵌入式系統的資安威脅,2018年首次重大改版。
此版本聚焦在重視能源、銀行、通訊和國防等攸關美國國安與經濟的關鍵基礎設施產業資安管理,並特別將「供應鏈風險管理」(Supply Chain Risk;簡稱SCRM)增列至核心類別,代表供應鏈風險已有相當的重要性,須全面識別與因應,建議企業將資通安全納入高風險供應商合約中,定期評估和監控供應商資安狀況。
美國總統川普已發布總統令,要求聯邦政府與關鍵基礎設施業者強制採用NIST CSF架構管理資安風險,並在2018年8月NIST推出「Small Business Cybersecurity Act」後,將此標準推廣至美國3千萬家中小企業,作為資安管理之參考依據,除了美國外,其他國家他國家與企業也相繼採用,2018年起已擴散至日本、英國、義大利、加拿大、以色列等國政府、能源委員會、國防與企業等全球30個國家。
法制規定帶來藍海市場
除了NIST的新版本資安框架外,由於5G時代來臨,ICT供應鏈技術快速演進 增加資安風險,美國政府表示對手常透過ICT技術漏洞,進行惡意攻擊,因此美國政府也從政策面強化嵌入式設備與ICT的供應鏈風險管理,2018年7月美國國土安全部轄下資安及基礎設施安全局,整合聯邦機構及科技大廠成立「ICT Supply Chain Risk Management Task Force」,以推動供應鏈威脅資訊共享、建立供應鏈安全評估框架與標準、研擬合格製造商清單以防堵有安全風險的ICT產品等三大措施,希望建構美國建構ICT供應鏈風險管理與因應能力。
圖2 : 全球智慧製造從2016年開始落地,導致這幾年工業控制系統的資安漏洞數量逐年上升。(source:Network World.com) |
|
目前「ICT Supply Chain Risk Management Task Force」的成員包括了20個政府單位、40家 ICT與晶片大廠,有些成員目前正在制定服務投標業者與製造商清單,未來未納入此名單的業者,可能無法供貨給上述機構與業者,在今年,川普更進一步強化相關的作為,川普已簽署行政命令,禁止美國機構、企業或個人交易、使用對美國國安造成重大風險的ICT產品或服務。
除了美國之外,歐盟近期也開始加強嵌入式系統的資安法規,因此從過去幾年的發展來看,隱私與資安已陸續法制化,對業者來說,這些法規雖對產品研發與製造帶來挑戰,但也代表另一波藍海市場的啟動。現在全球企業對網絡釣魚,勒索軟體等攻擊日益重視,OT端點、OT網路與OT監控安全等需求不斷增加,加上在政府法規要求下品牌客戶開始要求供應鏈安全,從2010~2018年全球公開上市的資安公司就從12家成長至33家,全球公開上市資安公司市值,更從2010年的718億美元成長至2018年達到1,597億美元,而從整體發展來看,目前此市場仍只在初期階段,後續成長潛力將十分驚人。
不過,相對於國外廠商,台灣企業在資安投資雖已逐漸重視,但仍然不足,2018年有90%的台灣企業在資安方面的投資至少是持平,上市櫃公司28%企業會增加資安投資,更有10%的新增資安人力。而在所有產業中,不論是資安投資金額或年成長率,金融業都是首位,其平均資安投資金額達到新台幣3,045萬元,機電與醫療兩大產業則偏低。
至於被認為是非消費性嵌入式架構重點的製造系統,多數廠商尚未全面導入OT資產資訊可視化機制,難以即時監控設備狀態,OT應用程式的資安管理也仍有努力空間,至於IT/OT網路與OT內網,台灣則已有近90%的製造業者採用實體隔離,未來將會進一步強化。
在成本與效能的考量下,非消費性領域的嵌入式系統發展已然蓬勃,不過資安挑戰也將隨之而來,現在歐美市場對資安與隱私的問題向來重視,台灣廠商必須及時了解其法規發展,方能掌握商機,達到企業永續生存的目標。
**刊頭圖(source:Cognos IT Solutions)