工業4.0和工業物聯網相關議題已經討論多時,企業數位轉型勢在必行。然而,供應鏈數位化雖能大幅提升生產效能並即時掌握工廠狀態資料,擴大的連接網路卻也成為駭客入侵的目標。因此,掌握資安標準、化網路安全為商業優勢將是企業成功關鍵。
雖然關於工業4.0和工業物聯網(IIoT)的介紹很多,但其供應鏈功能卻愈加複雜。就此而言,整合供應鏈成員之間的流程至關重要。現在,隨著工業4.0興起,整合公司資源並建立連線的機會增加,可在時間、資金和效率方面提高效能。本文中,工業4.0的定義為越來越廣泛地使用技術提高工業生產力、效率和競爭力,特別是用於自動化和通訊的數位技術。
依照工業4.0描述,大多數公司正經歷供應鏈數位轉型,結合使用一系列完全整合的規畫與生產解決方案,在價值鏈的各個接觸點建立更加可視化的供應流。當然,還有許多包括IIoT在內的其他應用場合,逐步涉及供應鏈的每個環節。這些技術都有共同之處,即數位化,其設計宗旨是為了實現工業和相關流程最佳化,改善業務效率、準確性、透明度、責任制、靈活性和敏捷性。在數位轉型帶來的眾多優勢下,工業4.0快速推進也不足為奇。
然而,供應鏈數位化也蘊含巨大風險,如可攻擊面增大,讓網路犯罪分子有可乘之機。跟只有少數存取點、相對封閉的網路情況不同,數位化供應網路會產生許多潛在漏洞,橫跨地域範圍廣,並可透過許多人、系統或裝置遭到利用。工業4.0對供應鏈的實際影響很難量化。全世界都依賴工業系統完成日常數位化流程,因此,若使用複雜的網路或物理攻擊手段入侵系統,這種依賴性就會造成網路安全漏洞。
複雜性往往是安全性的大敵。隨著供應鏈因數位化程度提高,其互連性變得愈加複雜,越來越難以將安全性保持在可接受的程度。本文旨在確定和分析這些漏洞,讓製造商能夠制定長期規畫和業務永續發展策略,把網路安全化為業務優勢。
供應鏈安全挑戰多
目前處於各個工業4.0轉型階段的傳統製造業很少有明確的安全計畫,一般也缺少考慮到安防與安全兩方面的綜合計畫。鑒於工業資料的商業價值以及工業間諜的可能性,工廠更容易成為網路犯罪分子的攻擊目標。
沿著供應鏈傳輸的資料,例如從製造商或維護人員到裝置,可能被攔截、篡改或重新導向,造成設備故障、資料洩露、輸出受影響,甚至工廠關閉停機。裝置可能遭到入侵或其軟體被篡改,導致存取憑證失竊,設備失控。
對於製造業,數位轉型帶來特定挑戰。例如:
.設備的資本成本高、生命週期長(數十年),透過升級「換代」解決問題會讓大多數企業難以承擔成本。因此,數位轉型必須循序漸進。
.許多工廠都要將陳舊系統納入工業4.0網路安全措施,而可用時間可能有限,具體取決於設備生命週期。由於工業應用標準和協定多種多樣,其中許多並未將安全性列入考量,因此導致問題加劇。
.供應鏈中,設備數位轉型的過程可能處於不同階段,難以整合。
.必須確保第三方提供者的網路安全,因為某些第三方需要直接存取設備和系統,例如維護或原始設備製造商(OEM)。
.轉變文化的需求。傳統上,製造業以保護人員和設施設備為重。現在擴大範圍將網路安全包含在內,可能需要適應時間。
.工廠需要量身定制的網路安全功能,不僅考慮普通的監控、預防和阻止方法,還要涵蓋特殊的設備和作業。
.工業設備等製造裝置內部網路安全設計也面臨挑戰。
.某些情況下,新增網路安全措施可對工廠作業產生影響。
缺乏安全性可對持續營運、可靠性和產品品質造成重大影響,工業4.0也不例外。
就保護工業4.0資料和資產安全而言,根據企業的角色和在供應鏈中的位置,採用方法各有不同。例如,資產所有者要全面關注整條供應鏈全程營運的安全性、持續性和風險管理;系統整合負責人主要關注系統和流程安全與韌性。在一定程度上,他們的角色與維護經理重疊,而維護經理也要考慮設備生命週期,並隨著設備資產和要求變更不斷納入安全措施。
最後,元件和產品製造商不僅希望獲得安全供應鏈所帶來的商業優勢,還要證明產品安全性。網路安全是共同的責任,就IoT和工業4.0而言,由於供應鏈紛繁複雜且涉及諸多面向,這一點更加關鍵。由於參與者眾多並由此產生相互依存關係,合作對保護工業4.0至關重要。不同的供應鏈參與者可能受到不同的國家立法框架約束,在各個層級和階段都有可能發生安全事故。這種事故可能與商品、服務或資訊交換有關,導致整條供應鏈中的錯誤和風險增加。在這些複雜的供應鏈中,確定問題原因非常困難。這時,便需要更普遍適用的安全標準和解決方案。
雖然每個領域和公司都有各自的挑戰,但工業4.0實施發展至今,在法規、標準和架構皆已具備相應成熟度,尤其是這一背景下的網路安全。目前適用於世界各地工業4.0網路安全的法律法規包括:
.網路與資訊系統安全指令(NIS Directive)(歐盟)
.一般資料保護規則(GDPR)(歐盟;在英國,GDPR已納入資料保護法,因此依然適用)
.能源政策法(美國)
.美國國家標準和技術研究院(NIST)網路安全架構
.IoT安全法SB-327(美國加州)
.NERC關鍵基礎設施保護(NERC CIP)標準(美國)
.第13920號總統政令「保護美國大容量電力系統安全」(美國)
.S.3688能源基礎設施保護法(美國提案)
.新加坡網路安全法
.2016年中華人民共和國網路安全法
鑒於當今市場的全球化特性,組織不僅要證明其產品和流程具有極強的安全性,還須符合全球監管要求。因此,系統須具備內部安全性,根據既定標準定期測試和驗證。標準與獨立安全評估相結合,可幫助組織及其供應商充分瞭解監管要求、採購和品質保證流程。實現這一目標的最佳方法是透過獨立評估證明產品、流程和整套系統的安全做法值得信賴。
利用獨立安全評估機構也有助於管理供應鏈中的第三方風險,特別是在處理供應商安全問題,以及促進第三方風險管理的規畫和實施的時候。達到較高成熟度以及穩定可靠的安全狀態是當今企業資安長(CISO)和領導團隊的主要關注點,供應鏈網路安全正是重中之重。
IEC 62443奠定網路安全基礎
除了各國法規,我們還需要一個共通標準整合上述工業4.0安全相關條款,而這正是國際標準IEC 62443的用武之地。制定IEC 62443系列標準之目的是為了替網路安全完備性奠定基礎,保護支援工業4.0的工業自動化和控制系統(IACS)。該標準為企業提供實用的系統性方法,可用於保護工業系統安全,涵蓋從風險評估到營運的方方面面。此外,IEC 62443標準還涉及:
.安全產品開發和維護流程
.元件、產品和系統安全
.系統執行安全架構和組織流程
各項IEC 62443系列標準專用於製造商、系統整合商以及終端使用者。對於元件和產品製造商,符合IEC 62443標準有助於證明系統和元件的安全性並提高市場地位。對於工業控制系統(ICS)整合商和控制系統使用者,符合IEC 62443標準可以有效增強品牌保護並擴大競爭優勢。
這代表,IEC 62443認證的價值遠超工廠車間範疇,並且有助於驗證整條供應鏈的安全措施,特別是在值得信賴的第三方認證機構提供認證的情況下。
鑒於工業4.0和IIoT發展演變,技術不斷進步,加上監管機構對嚴格執行安全監管的意願增強,必須持續監控和升級工業4.0安全系統。安全系統須要能夠應對數十年內不同的工廠、技術變革以及不斷變化的威脅。
許多情況下,必要的知識超出內部IT人員的能力範圍,因此工業網路安全本身很有可能將迅速成為一個專業領域。根據這一點,公司可能須招聘相關員工或與專業第三方公司合作,以便對自身設備、供應鏈完整性與產品進行網路安全性的測試和驗證。與一家備受推崇的專業第三方認證機構合作評估、測試和驗證網路安全協定不僅可以讓企業高枕無憂,還能建立客戶、潛在業務合作夥伴和利害關係人的信任和信心,使其產品或品牌更有可能獲得青睞。
工業4.0機會與風險並存
現在,工業領域處於歷史轉折點。工業4.0帶來絕佳良機,但也存在重大風險。如果製造商可以適當降低風險,潛在收益將十分可觀。與此同時,工業企業資料和數位通訊的價值愈加明顯,如果應用得當,透過工業4.0和工業物聯網實現的數位轉型可以:
.實現生產效率最佳化,縮短停機時間並降低成本。
.產生有意義的客戶行為和偏好洞見,可以轉化為新產品線和更好的客戶服務。
.簡化供應鏈和營運流程。
.整合舊系統資料,全面改善整個企業從高管到基層的營運,產生可靠的綜合資料集。
.確保為戰略和營運決策提供支援的資料準確無誤。
.使經理人能夠全天候檢視所有資料,並對持有的資料及其所在位置瞭然於心。
.促進監管合規以及合規文件記錄。
.提高企業可靠性、安全性和品質優良的聲譽。
然而,由於需要高可用性和安全的工作環境,同時技術負債和陳舊系統成本高昂,工業4.0也面臨獨特的挑戰。大多數高科技IT企業都很難達到成熟的安全狀態,在工業環境下也很難做到這一點。即便如此,企業仍要採取安全措施。在這裡須特別指出,工業4.0的安全責任不應全權交由IT承擔,也並不總是能藉由商業環境下適用的規則輕易解決問題。
簡而言之,企業在規畫上須放眼全局。孤立不能保證工業4.0安全,其注重各部門和領域透明、整合以及資料分享的理念。公司必須規畫出資料及其傳輸路線,多點收集資料,在各個站點和營運場所聚合資料並在需要時保護資料。只有這樣才能實現資料真正的價值。
與任何其他企業一樣,工業4.0企業網路安全也是高級戰略問題。業務計畫必須納入網路防衛,而解決安全問題的需求必須為人所知並從上向下傳達。企業須制定策略,積極動員全體員工以傳達文化變革。大家都要將網路/IIoT基礎設施視為應該管理並挖掘價值的一項資產,而不是各個角色和部門的集合。只有在員工瞭解企業網路,所有裝置和潛在漏洞無論是否過時都確保其安全性並定期更新的情況下,IIoT網路安全文化才能順利發展。安全責任必須由整個組織共同承擔,而不是全都推給IT。
當然,企業也可採取一些常規措施保護網路和連線系統的安全,例如盡可能減少存取權限、適當使用邊緣運算和雲端、自動執行安全工作和建立完善的驗證協定,但最終還是可能須要招聘新員工或取得第三方專業知識。網路安全不斷變化,面臨的威脅也是如此,工業領域同樣可能面對超出標準IT部門範圍的特定問題。專業第三方可就最佳做法提供建議,分享切實可行的經驗並持續提供安全品質認證。
網路安全對製造業的價值顯而易見,但其作為企業資產發揮的作用經常被忽視。這很遺憾,因為糟糕的安全性可對公司聲譽造成災難性影響,而良好的安全性則可提升公司的聲譽。客戶與合作夥伴組織對網路安全問題的意識日益增強,他們根據這種意識做出選擇。在該領域內以高標準聞名的公司很可能獲得優勢,有記錄在案的定期測試、評估和升級等證明更是加分項。
這一問題對於尋求與製造商合作的企業特別重要,因為企業知道自身聲譽可能因合作夥伴而降低或提高。完善而成熟的網路安全也有助於招聘員工,降低保險等財務成本,並增加商業機會。
數位轉型之旅必有資安相伴
現在,製造商須採用工業4.0模型,而在大多數情況下,這同時代表加入IIoT行列,必須分享資訊,產業才能發展。在此情況下,資訊安全對大家都有利。 幸運的是,有助於闡明要求的協定和標準現已建立。使用IEC 62433作為黃金標準能讓企業將完善的網路安全納入工業4.0,使從供應鏈合作夥伴到終端使用者的各方人員獲得更大的利益。
(本文由UL Solutions提供)