網路駭客攻擊事件越來越多,其最新目標,竟是製造業。不同於一般辦公室系統連網,工廠機器系統相對封閉,但隨著物聯網發展,其安全神話逐漸破滅。 很多日本工廠、生產設備的電腦其實早就中毒了,只是因為沒人去調查而已。」某大型控制器廠商的幹部嘆氣說道。 這位幹部任職的公司,供應生產設備和產線所需的「控制系統」,那是「工廠的頭腦」,負責讓單純的閥門、幫浦等裝置,甚至是機器人或工具機等複雜設備順利運轉。 控制系統一般使用於獨立在網際網路之外的封閉網路,且必須客製化架設,所以每家工廠、每套生產設備的網路都不同,這是其最主要的特徵。控制系統不像辦公室環境必須經常上網,所以一般認為較不容易受到網路攻擊。 然而,實際上已經有很多工廠的控制系統中毒了。雖然並未產生立即性危害,但想像不到的事態的確成為現實問題。伊朗案例:核能廠遭破壞控制系統管的是機器設備和裝置等實物,和管理人事或會計等企業內部數位資訊的「資訊系統」不同,萬一控制系統的控制權落入惡意人士之手,甚至有可能發生奪走人命的嚴重意外。 危機迫在眉睫,二0億五年底日本警察廳對全國的製造業發出警告,因為有人在網路上公開控制系統專用電腦「PLC」的攻擊工具,可以由外部啟動或停止其運作。「我們擔心有心人士會用這種工具讓系統當機,造成莫大損害。」警察廳說。 二0一0年,伊朗核能燃料設施中的濃縮鈾離心機遭受攻擊緊急停止,當時伊朗正獨自推動核武開發計畫,和歐美各國的關係緊張,而且事屬國家機密,戒備森嚴,也隔絕在網際網路之外,即使如此,它的控制系統操控權仍被掌握。原因是一個拇指大小的小型機器。 有人故意把含有電腦病毒「震網」(Stuxnet)的隨身碟,讓核能設施的員工撿到,該員工把隨身碟插入電腦後,電腦立刻中毒。之後透過設施內部網路陸續控制了德國西門子製的PLC,讓數千台離心機超載,造成物理性的破壞。 結果,伊朗的核武開發計畫據估計延宕三年。有人指出該病毒是美國國家安全局和以色列軍方情報組織開發的,但真相迄今仍眾說紛紜。這事件給了我們一個新常識,就算是完全隔離在網際網路之外的封閉系統,也不見得安全。 控制系統廠商定期帶到工廠內的維修用電腦,也成為病毒慼染管道。當其連上工具機或機器人以調整設定或蒐集資料時,病毒就開始入侵,控制系統中毒的案例越來越多。 美國現場:精機業被鎖定 負責因應控制系統危機的美國政府機關資料顯示,近年來鎮定鋼鐵與精密機械等「重要機器製造業」的網路攻擊激增,二0一四年已達全體的二七%,相當於電力等能源業界的規模。二0二一年起兩年內,鎖定製造業控制系統的攻擊,增加八倍以上。所有攻擊中,尚有四成的手法不明,無法採取因應對策。 連工廠內的封閉網路系統也開始遭受攻擊,今後隨著物聯網的發展,生產現場連上網際網路的時代來臨,受攻擊的風險更是暴增。 在製造業的現場,工廠和工廠間甚或是機器之間互聯,以提高生產效率的做法,已經開始左右競爭力。電力業界也陸續導入智慧電表,讓電廠藉此掌握用戶的用電狀況,因此,控制系統越來越難以完全隔絕在網際網路之外。 此外,網路攻擊的手法也日新月異。供應石化等工廠控制系統的橫河電機IT基礎建設部長門田章臣就說:「(工廠)什麼準備都沒做就讓控制系統連網,中毒機率是一00%。」 日本警戒:須強化奧運維安因為物聯網普及,更多機器成為網路攻擊的標的。以監視系統為例,最新機型具備利用網路傳送並接收影像的功能,有些人買來後不變更預設密碼就直接使用,所以只要有心就可以盜取資料。 網路攻擊的威脅日漸擴大。二0一五年七月,網路上一段公開影片震驚了全球汽車業界人士:兩位資安專家入侵美國FCAUS(原克萊斯勒)公司生產的控制系統,遠端操控車輛引擎。 甚至還有人成功入侵電信公司的資料中心,經由無線網路傳送非法指令。日本趨勢科技執行董事斧江章一警告:「汽車連接智慧型手機,增加了攻擊的入侵管道。在無人駕駛車普及之前,業者必須重新檢查資安是否無懈可擊。」 在一連串的事件發生後,產業界也開始祭出因應措施。 管控室的監視器突然出現異狀,警鈴大作......這是位於宮城縣多賀城市的控制系統安全中心訓練一景。由日本經濟產業省主導、日立製作所與富士電機等公司提供機器設備,設置了包含污水處理設施、火力發電廠、組裝工廠等九個大型模擬工廠,進行網路攻擊的因應訓練。 該單位事務局長村瀨一郎指出:「工廠內控制系統的負責人,腦中沒有網路攻擊的概念,因此就算機械異常停止,他們也只以為是故障。」這個單位存在的意義,就是要模擬萬一控制系統遭到攻擊,會發生什麼狀況。 也有一種對策,是自網際網路「單向」分離。會津大學特任教授山崎文明表示:「像核電廠或交通號誌系統等重要公共建設,必須導入單向網路閘道的機器。」它讓資訊可由電廠等傳送出來,但無法逆向傳送信號回去,可確實預防非法存取。 目前為止,日本製造業廠房並末發生大規模停電或機械暴走等嚴重意外,不過鎖定控制系統的網路攻擊卻年年增加,手法也越來越高明。二0二0年即將主辦東京奧運,日本能避免意外發生嗎?現實狀況已經沒有時間讓日本沉浸在安全神話中了。 (Nikkei BusinCss(C)2016 NikkeiBusiness Publications,Inc.) .) | ||