智慧制造的推动可??提升制造业的生产效率与附加价值,资本设备与数位科技的投入也如火如荼进行,惟相关资安议题也应然而生。
在勒索软体攻击、恶意软体渗透、钓鱼攻击等资安问题日益猖獗下,国际供应链业者纷纷遭殃,如美国默克药厂(Merck & Co)与波音公司、日本丰田汽车,以及在台湾的台积电、合晶、华硕皆为曾受影响的案例。在智慧制造已成为不可逆趋势之下,业者将须采取更积极主动的措施,管理相关资安威胁。
人工智慧是企业转型助力,也是资安阻力
过去三至五年是人工智慧应用的爆发期,瑕疵检测、预测性维护、原物料组合优化等成为制造业主要相关应用场域,人工智慧应用正加速企业转型。但骇客也开始运用人工智慧、机器学习和自动化技术来强化攻击能力。
在人工智慧快速发展下,骇客能够降低端到端攻击的周期,如从几周缩短至几天甚至数小时。以Emotet为例, 该恶意软体能够随使用者需求调整攻击方式,2020 年,骇客利用人工智慧与机器学习技术来提高恶意程式的能力。同时,人工智慧也降低勒索软体的攻击成本。
自2019年以来,勒索软体攻击的数量每年翻倍,一般研究机构多推测此与人工智慧之蓬勃发展有关。骇客能透过人工智慧强化软体韧体、硬体植入恶意程式的攻击范围,锁定企业配合的供应商及委外厂商进行大规模攻击,使得企业档案加密、外泄敏感资料、发动分散式阻断服务更为容易,进一步提高骇客的目标式勒索能力。
制造业需与其他产业抢夺资安人才
对比於资讯系统(IT)在资安的经验相对成熟,营运科技(OT)对於抵抗网路攻击的韧性有明显落差。面对资安议题,目前各行各业最为欠缺者为资安人才,制造业也不例外,甚至有过而无不及的情况。
根据国际资讯系统安全认证联盟(International Information System Security Certification Consortium;ISC2)於2021年发布的资安人才劳动力研究报告,全球资安人才缺囗高达272万人。一般而言,企业召募资安人才通常采用自上而下的策略,首先延揽最高职位(如资安长/??总级别),然後再向下根据组织需求补充组织结构图的初中阶职位。但在资安人员短缺之下,企业未必能完整布局相关人才,甚至出现即使召募部分资安人才,却因人员完整度不足、组织架构错置(例如将资安人才置於IT部门中)、职能与角色混淆等因素,导致人才专业不易发挥。
结语
由於一般的制造业过去对资安领域相对较为陌生,当资安标准瞬间提升时,业者同时必须兼顾供应链移转与工厂资安议题,未来甚至民主供应链形成时,供应链资安也成为「Must Have」而非「Nice to Have」。
在人才议题上,制造业者应强调培养实用型、产业型,以及技术型资安人才。企业可从外部取得资源,除与资安业者合作外,亦可策略投资工控资安新创或国外资安业者,将这些企业融入部门或独立成为内部训练中心,在IT端与OT端分别强化其「可用性」与「可靠性」。若可有效IT与OT之资安防护,将可使制造业资安管理更上层楼。(本文为洪春晖、陈彦合共同执笔,陈彦合为资策会MIC资深产业分析师兼研究总监)