智慧製造的推動可望提升製造業的生產效率與附加價值,資本設備與數位科技的投入也如火如荼進行,惟相關資安議題也應然而生。
在勒索軟體攻擊、惡意軟體滲透、釣魚攻擊等資安問題日益猖獗下,國際供應鏈業者紛紛遭殃,如美國默克藥廠(Merck & Co)與波音公司、日本豐田汽車,以及在台灣的台積電、合晶、華碩皆為曾受影響的案例。在智慧製造已成為不可逆趨勢之下,業者將須採取更積極主動的措施,管理相關資安威脅。
人工智慧是企業轉型助力,也是資安阻力
過去三至五年是人工智慧應用的爆發期,瑕疵檢測、預測性維護、原物料組合優化等成為製造業主要相關應用場域,人工智慧應用正加速企業轉型。但駭客也開始運用人工智慧、機器學習和自動化技術來強化攻擊能力。
在人工智慧快速發展下,駭客能夠降低端到端攻擊的週期,如從幾週縮短至幾天甚至數小時。以Emotet為例, 該惡意軟體能夠隨使用者需求調整攻擊方式,2020 年,駭客利用人工智慧與機器學習技術來提高惡意程式的能力。同時,人工智慧也降低勒索軟體的攻擊成本。
自2019年以來,勒索軟體攻擊的數量每年翻倍,一般研究機構多推測此與人工智慧之蓬勃發展有關。駭客能透過人工智慧強化軟體韌體、硬體植入惡意程式的攻擊範圍,鎖定企業配合的供應商及委外廠商進行大規模攻擊,使得企業檔案加密、外洩敏感資料、發動分散式阻斷服務更為容易,進一步提高駭客的目標式勒索能力。
製造業需與其他產業搶奪資安人才
對比於資訊系統(IT)在資安的經驗相對成熟,營運科技(OT)對於抵抗網路攻擊的韌性有明顯落差。面對資安議題,目前各行各業最為欠缺者為資安人才,製造業也不例外,甚至有過而無不及的情況。
根據國際資訊系統安全認證聯盟(International Information System Security Certification Consortium;ISC2)於2021年發布的資安人才勞動力研究報告,全球資安人才缺口高達272萬人。一般而言,企業召募資安人才通常採用自上而下的策略,首先延攬最高職位(如資安長/副總級別),然後再向下根據組織需求補充組織結構圖的初中階職位。但在資安人員短缺之下,企業未必能完整佈局相關人才,甚至出現即使召募部分資安人才,卻因人員完整度不足、組織架構錯置(例如將資安人才置於IT部門中)、職能與角色混淆等因素,導致人才專業不易發揮。
結語
由於一般的製造業過去對資安領域相對較為陌生,當資安標準瞬間提升時,業者同時必須兼顧供應鏈移轉與工廠資安議題,未來甚至民主供應鏈形成時,供應鏈資安也成為「Must Have」而非「Nice to Have」。
在人才議題上,製造業者應強調培養實用型、產業型,以及技術型資安人才。企業可從外部取得資源,除與資安業者合作外,亦可策略投資工控資安新創或國外資安業者,將這些企業融入部門或獨立成為內部訓練中心,在IT端與OT端分別強化其「可用性」與「可靠性」。若可有效IT與OT之資安防護,將可使製造業資安管理更上層樓。(本文為洪春暉、陳彥合共同執筆,陳彥合為資策會MIC資深產業分析師兼研究總監)