製造業工控系統資安難為　人才稀缺又興起AI攻擊

在智慧製造推動下，製造業的產值與附加價值正在提升，資本設備與數位科技的投入也如火如荼進行著，相關議題也應然而生，在勒索軟體攻擊、惡意軟體滲透、釣魚攻擊等資安問題日益猖獗下，國際供應鏈業者紛紛遭殃。製造業者須採取更加積極主動、前瞻性的措施，才能在未來減輕資安的威脅，根據各資安業者的調查與當前的技術發展，未來三到五年企業值得關注三大資安趨勢如下。

人工智慧是企業轉型助力也是資安阻力

過去幾年是人工智慧應用爆發期，瑕疵檢測、預測性維護、原物料組合優化等成為製造業主要相關應用場域，加速企業轉型。但駭客也開始運用人工智慧、機器學習和自動化技術來強化攻擊能力。在人工智慧快速發展下，駭客能夠降低端到端攻擊的週期：可從幾周縮短至幾天甚至數小時。

同時，人工智慧也降低勒索軟體即服務的攻擊成本，自2019年以來，勒索軟體攻擊的數量每年翻倍，例如在2020年2月至2020年3月的第一波COVID-19期間，全球勒索軟體攻擊的數量激增了148%。從2020年1月到2020年2月，網路釣魚攻擊增加了510%，這些被研究機構推測與人工智慧蓬勃發展有關。駭客能透過人工智慧強化軟體韌體、硬體植入惡意程式的攻擊範圍，鎖定企業配合的供應商及委外廠商進行大規模攻擊，使得企業檔案加密、外洩敏感資料、發動分散式阻斷服務更為容易，進一步提高駭客的目標式勒索能力。

一種比較進階的人工智慧攻擊方式是深度偽造（Deep Fake），深度偽造可能造成更多的自動化社交工程攻擊，這種攻擊方式能模擬人類大腦運作，透過使用神經網路來建立擬真的相片、聲音和文字，其中最常見的一個作法被稱為生成對抗網路（GAN），生成對抗網路包含了兩組神經網路生成器和辨識器，兩組神經網路會透過互相切磋學習來產生偽造影像，以假亂真。目前的深度偽造多應用在政治人物、名人上，對製造業影響較小，但若駭客未來濫用其影響，透過合成管理階層並下達錯誤生產指令，或是偽造出產品設計圖，則可能真實影響到業者實體的營運流程。

工業控制系統帶來巨大資安風險

傳統上營運科技（OT）透過專用的軟硬體架構在獨立的網路中執行，目標與要求與IT完全不同，但在智慧製造的趨勢下，連網環境日益普及，形成了物聯網和工業物聯網，工業控制系統從過去的封閉式系統走向與IT系統融合，而採用這種開放、通用性的架構，固然縮短了OT與IT之間的差異，卻也帶來新的資安弱點，OT系統開始受到病毒、木馬等惡意軟體的威脅。與IT系統不同的是，OT系統斷電要提前數天／數周進行計畫和確定時間表，因此一旦因資安威脅被迫關機、重新啟動、停機，容易在停機時間導致重大損失。同時，OT在更新上較為繁雜，若套用修補程式和防毒軟體，均需要經過測試、批准安裝、排程執行與驗證等流程，容易造成維護成本提高，加上使用者通常是遠端登入，可能造成非法連線的風險。

同時，當前企業OT系統的生命週期多為15至20年或更久，當初這些系統設計安裝通常並未將資訊安全的需求考量在內，系統資源僅供控制用，機器只要穩定運行就會儘量不更新或延後更新，使得內部系統充滿漏洞。而OT系統具備不少專用的和標準的通訊協議、多種類型的通訊媒介包括有線和無線（無線電和衛星）、複雜的網路結構（現場層、控制層、管理層）等特性，若需要更換通常由供應商協助，但因不同的演算法可能影響硬體與軟體效能，實際操作上較為複雜。一般針對IT系統安全性的管制作法，不一定適用OT的資安防護。此外，IT與OT的技術支援與管理多半各自進行，容易造成牽一髮動全身、協調不力的狀況，因此對比於IT在資安的經驗相對成熟，OT對於抵抗網路攻擊的韌性明顯不足。

最後，由於OT對於維持產線穩定度的重要性極高，因此OT與IT各層級的溝通順利與否，是業者能否專心投入智慧製造的關鍵要素之一。OT常見控制階層為的普渡工業控制階層模型，分成Level 0至Level 5五個層次：場域裝置、基礎控制、區域控制、製造維運控制、業務規劃、企業IT，其中製造維運控制這層即是IT與OT融合的交會點。IT人員在導入資安解決方案時，須與OT人員確認所導入的解決方案不會影響產線效能。此外，解決方案也需要與製程設備使用同一種OT語言，例如DNP3、BACet、Modbus、LONTalk、SafetyNET等，才能精準判讀OT設備間的通訊是否正常。由於當前對製造業的攻擊手法逐漸走向客製化，達到100%防護成效較難，業者多希望能夠資安防護系統協助企業受攻擊後能快速復原，達到從設備到供應鏈的資安韌性。

製造業須與其他產業搶奪資安人才

除了營運環境與技術外，製造業在資安上面臨人才不足的情況與其他產業並無差異，甚至有過而無不及的情況。根據國際資訊系統安全認證聯盟（ISC2）於2021年發布的資安人才勞動力研究報告，全球資安人才缺口高達272萬人，一般而言，企業召募資安人才通常採用自上而下的策略，首先延攬最高職位（如資安長／副總級別），然後再向下根據組織需求補充組織結構圖的初中階職位。然而，由於資安人員短缺及需要專注於建立專屬人才庫的布局並非為所有企業掌握，部分業者面臨成功召募資安人才卻無處發揮的窘境、部分資安人才置於IT部門中，造成職能與角色的混淆，加上企業需區分理論型及實務型資安、技術、管理及法制的資安，若無法辨識出所需人才種類，將使得人才專業難以發揮。

除需求辨認度不足導致人才招募受挫外，由於資安已經從產業議題變成國安議題，企業也必須與政府爭奪資安人才，例如美國陸軍於2022年宣布擴大召募網路作戰部隊，以防止外國組織透過網路發動攻擊，開出職缺涵蓋「網路及電子作戰官」、「網路作戰官」、「密碼情報分析師」、「網路防衛人員」，還有「網路作戰專員」。另一類競爭對手是整合資訊服務與管理顧問的業者，以勤業眾信（Deloitte）為例，截至2021年，該公司在全球聘雇2萬2千多名資安人員，被評為全球召募資安人才最積極的公司之一，其競爭對手如其他頂級網路安全雇主包括資誠（PwC）、安永（EY）、博思艾倫（Booz Allen）、安侯建業（KPMG）等顧問業者也積極延攬資安人才，為的是服務龐大產業資安需求。在這種非典型的競爭對手出現下，原先面臨人才缺口的製造業尚需與金融、資訊服務、醫療、零售等產業搶奪資安人才。

對製造業者而言，供應鏈與智慧工廠的網路攻擊是業者對擔憂的事。對於關鍵基礎設施領域的企業而言，延攬OT專家可能更加困難，由於企業在建立IT專業知識方面擁有數十年的經驗，因此擁有更大的人才庫。相較之下，對於OT資安人才的大量需求為工業4.0蓬勃發展後才開始出現。培訓部分，多數企業對於要召募什麼科系、過去具備什麼經驗的人才也難有定論，由於資安講求實戰能力，製造業者必須主動到各種社群網路中尋找人才，而非單用召募網站等傳統管道，而這些以程式為基礎的開源社群中可能早已被大型科技業者占據，這對製造業而言構成更大的挑戰，如何突破這些瓶頸絕對是關鍵。

＜本文作者：童啟晟現為資策會MIC資深產業分析師＞