FineArt News

資安新知

智慧製造的資安隱憂

隨著數位化轉型的興起和物聯網 (IoT) 在製造業中的廣泛應用,IT 和 OT 工作通常通過實施安全性來融合,這種交互通聯簡化了工作流程,降低了成本,但也帶來了額外的安全風險。為了管理這種複雜性,企業必須確保IT和OT受控和諧的結合在一起;選擇的解決方案,將在效率提升和安全措施之間取得平衡。

智慧製造大大提高了生產能力,從而提高了效率和定製化能力。據《富比世》報導,傳統製造業需要收集有關生產細節的大量數據,而工業物聯網 (IIoT) 等新的創新工具的加入可以通過幫助自動、即時收集系統數據、消除手動輸入的曲折過程,和顯著減少錯誤來改善這種失誤情況。此外,製造執行系統 (MES) 收集和解釋這些數據,將其與企業資源規劃 (ERP) 等業務級系統相關聯,以優化運營效率和決策流程。 考慮到當前的製造業形勢,數據洩露的最常見原因有哪些?數位整合的興起使對製造運營至關重要的運營技術 (OT) 系統面臨越來越多的網路安全威脅。

駭客變得越來越聰明,入侵工具自動化並且AI化,使得並以往需要專業技術門檻來針對製造系統入侵變得更加容易。它們會入侵網路、破壞數據、並且通常會造成嚴重運營中斷。因此,即使您認為它不會發生在您身上,製造業也面臨著相當多的準網路犯罪。 在網路攻擊期間,駭客可以利用 Web 應用程式中的漏洞,存取儲存在內部網路和資料庫中的關鍵系統和敏感資訊。可能會使用社交工程方式來欺騙員工並獲取機密資訊,從而危及公司的安全。

數據是動態的。在混合工作的世界裡,使用者透過看似無窮無盡的管道建立、處理和共享的數據,造成比以往更多不經意洩漏資訊的機會。由於數據洩漏的機會似乎是無限的,而且 90% 的事件涉及組織自己的員工,因此企業必須通過利用最新技術,並在安全積極文化中發展策略來應對威脅。相較於其他科技業及科技服務業,智慧製造面臨的資料外洩風險面向具有下列特性

  1. 跨OT(營運技術)與 IT(資訊技術)整合的安全風險
    • OT 系統老舊且先天缺乏安全性設計
      傳統製造業的 OT 設備(如 PLC、SCADA、DCS),因當年開發時空環境及生產需求的關係,通常沒有內建強化的資安機制,容易被攻擊者入侵並作為資料外洩的跳板。
    • 工業物聯網(IIoT)設備的漏洞
      智慧製造仰賴 IIoT 裝置蒐集和傳輸數據,但這些設備常因為低功耗,及即時(Real-time)收集數據需求而缺乏嚴格的資安保護,如使用未加密的通訊協議,或預設密碼未變更,導致資料洩漏風險。
  1. 供應鏈與第三方合作夥伴的風險
    相較於其他產業,製造業具備更多的供應鏈來源需要考量,不光獨善其身:
    • 外部供應鏈攻擊
      為製造上需要通常必須與眾多供應商共享數據,如: CAD 設計圖、製造流程、設備操作數據等;不論是上游或下游,如果供應商的資安防護不足,可能成為駭客的突破口,間接影響上下游夥伴。
    • 機敏生產數據外洩
      智慧製造會透過專屬的服務系統 MES(製造執行系統)、ERP(企業資源規劃)等平台整合數據,如果這些系統的權限控管不佳,可能導致機敏資訊(如生產排程、供應鏈策略)外洩。
    • 數據大量增長和非結構化數據
      企業會產生大量數據,其中大部分是非結構化的(電子郵件、文檔、雲存儲、消息傳遞應用程式)。 傳統DLP 解決方案難以準確分類和追蹤敏感數據。
  1. 多雲和混合環境
    公司使用多重雲端服務(AWS、Azure、Google Drive、Dropbox 等)。 雲端、地端和遠端環境中,可以提供的資安保護規則無法一致,使實施防護策略變得困難。
  1. BYOD(自帶設備)和遠端工作
    員工在個人設備(筆記型電腦、手機、平板電腦)上存取公司數據,使得在公司網路之外實施 DLP 規則具有挑戰性。

 

製造業數據洩漏的後果

  • 業務中斷:在製造業中,需要關閉一個或多個工廠或停止生產,從而導致生產力和收入損失。
  • 對手盜用:洩漏商業機密或智慧財產權被盜,並可能出售給競爭對手,喪失領域領先優勢。
  • 法律合規性:合規性要求所帶來的法律風險。

然而基於智慧製造的獨特性質,可能對需要專用的數據外洩防護 (DLP) 解決方案,抱持更積極態度。也許認為公司不會處理到吸引網路犯罪分子的敏感數據,也許對現有的安全措施有信心。或者,可能由於資源有限,或認為所在行業的風險水平相對較低而猶豫不決。製造業是網路犯罪的主要目標,這一切都歸結為兩件事:金錢和秘密。駭客的動機是獲得經濟利益或竊取商業秘密的機會。

雖然個人資訊PII在數據洩露中始終都存在被盜的風險,但製造業還面臨著另一個挑戰,即是對其智慧財產權的威脅。 因此,製造業不僅需要採取可靠的數據外洩防護 (DLP) 措施,還需要積極主動地保護專有技術和商業機密。公司的智慧財產權是無價的資產,讓您在競爭中脫穎而出。DLP 解決方案則可以提供額外的保護層,確保您的商業秘密、專有技術和機密資訊處於控管保護狀態。防止未經授權的披露或盜竊,DLP 可以保護您的智慧財產權,並防止競爭對手的潛在複製。