工業控制電腦(ICS)與機台銜接,對企業來說是至關重要的生財工具,更是操作人員與機台的重要介面。即便在人工智慧與工業4.0環境中,ICS更是數據創造者,透過收集的數據,創造最大利潤與提高整體產線良率的重要關鍵。當然ICS也扮演著端點裝置的角色。從T公司的資安新聞事件中,不論真實呈現如何!!已經揭露了ICS工控端點的資安風險問題,值得我們深思的探討。許多廠區無法拍照且封閉,對資安產業來說,更是難以一窺其真實樣貌 (註:資安的管控許流程與系統網路結構相關,不能只從端點角度思考,太過狹隘。)所以本文將以「淺談」角度來勾勒目前看到的普遍問題。
直接切入ICS端點與系統結構,有哪些已知的風險,與大家分享:
- ICS機台系統OS作業系統老舊:每部機台都是高價購買,當然原廠多有提供升級服務,一旦機台數量驚人,升級費用所費不貲。在實際現況上,老舊機台使用狀態良好,升級並非各廠優先所選。大規模汰換,也將陷入機台老舊的輪迴規律中,並非良策。
- 相關機台軟體所綁定參數,以及軟體是否相容於新的作業系統,都面臨重新調適問題。例如在舊機台客製軟體功能,勢必無法遷移至新作業系統環境,這讓整體運作陷入另一種營運獲利的風險。
- 防毒防駭機制老舊,漏洞將與舊作業系統長存。已經停止更新服務的作業系統,除了面對舊的漏洞問題,更面臨新的攻擊與破壞。
- 設備工程師與資訊部門在認知資訊安全結構性問題。設備工程師對IT世界的資訊安全認知是多數不足的;而資訊部門也不太敢輕易去觸碰調整機台設備,因為相關措施導致產線中斷,都是無法彌補的營運風險。
- ICS以及Scada預設帳號密碼幾乎不做更換,廠越大機台設備越多,這類問題更為嚴肅,居然預設帳密沒有更換,接下所敘述的工業連網呢!?
- 工業4.0或工業聯網催生下,機台連網,讓網路成為惡意程序蔓延重要渠道,若擴大AI智能工廠或關燈工廠,要考慮的資安因素將更為複雜。
- 為特定機台的攻擊程序更難防禦。承上所有結構,專為ICS或是Scada的攻擊惡意程序,讓防禦得縱身拉長,處理難度更高。
- 最後必須將設備製程與當前最夯人工智慧,進行未來風險預測思考,一旦出貨被干擾中斷、良率下降、甚至偽造訊號干擾機台運作事件發生,各廠來說都是潛在的惡夢。
關於上述風險無法鉅細靡遺的詳列,因為各廠有各廠在人力素養、產線架構、機台屬性、以及網路架構…等,都有著差異。新廠當然可以在設計之初進行預防措施,以及更滿足於現代化資安防禦需要,總是要為舊廠想想有無更好解套方案!!