工業物聯網(IIoT)發展帶來高度生產效能,卻也衍伸資安威脅。趨勢科技針對無線電安全於工業設施、關鍵基礎建設可能面臨的風險進行了系列深入研究,歸納出重放攻擊、偽造指令、緊急停止、惡意配對與惡意韌體等五大潛在風險,企圖藉此先行防範工業安全的疑慮。
趨勢科技研究開發部資深研究員Philippe Lin表示,工業無線電遙控器使用率越來越高,應用於天車、移動式升降機、水泥幫浦、農業自動化、倉儲自動化碼頭、林業、隧道作業、工業自動化與挖礦等領域,主要協助操作員簡單又安全地控制工業用的設備;根據趨勢科技預估,全球工業無線電遙控器年產值高達兩千萬美元之多。
隨著工業無線電遙控器使用量越大,也就更加突顯無線電資安問題。若資安把關不恰當,即有可能資安變成工安的問題。舉例來說,在一般工業場景中,操作員會依照機器手臂停止的指標,進入工作環境操作相關設備,此時,若將依舊運作中的機器手臂,透過駭客的方式標示機器手臂停止狀態,誤導操作員進入危險場域工作,極有可能引發工安事件。
事實上,供應商在工業安全特性上,做了許多安全防護措施,例如遙控器與遙控器之間不會產生互相干擾、遙控器密碼保護,或在高端設備中內建RFID機制,具備操作員等級鑑別功能,甚至在無線電遙控器上多增加一個紅外線通道,加強安全防護措施。
安全措施是防止操作錯誤,資安則防止惡意攻擊。Philippe Lin談到,目前工廠已做好防止操作錯誤,卻還沒防止惡意攻擊。例如有人在中間偷聽無線電,因為無線電是廣播(Broadcast)傳送出去,只要在300公尺內的範圍都可監聽得到,若加上指向性天線以及功率放大器,即能接收到1~2公里遠的距離,風險在於有人截取到封包之後,將無線電封包重送,就可以操作無線遙控器。
Philippe Lin分析,目前惡意攻擊的資安手法,最常見的包含重放攻擊、偽造指令、緊急停止、惡意配對與惡意韌體等手段,可透過端點防護、嵌入式韌體安全與強化資安意識的方式,盡可能避免資安問題帶來的安全疑慮。
工業無線電安全時常遭到忽視,即使設備發現資安漏洞也很難立即更新。一旦駭客控制了無線電遙控器,也將有可能一併控制工廠的生產線,製造出不符合標準規格的產品,甚至直接造成財產和生命損失,廠商要多加防範留意,於早期規畫時把資安措施納入其中。
工業無線電遙控器使用率逐年攀升,隨之而來的資安問題亦不容小覷。