盤點產線工控IT/OT風險環節　多管齊下保障製造現場資訊安全

隨著資訊科技(IT)與營運科技(OT)逐漸融合，過往封閉的工業場域開始大量部署聯網裝置或感測器，蒐集生產線每個工作流程產生的數據，進而引進人工智慧(AI)演算模型輔助分析，來提升故障預測、優化資源調度與製程等能力，以突破生產力與產品良率瓶頸，創造經濟效益。

然而物聯網的普及也讓各式聯網裝置成為攻擊者覬覦的標的。西門子(Siemens)製程工業自動化副協理范栩指出，西門子可說是實踐工業4.0的先驅，憑藉在全球眾多事業群的經驗，西門子參與了多種垂直領域的自動化基礎架構專案計畫。范栩發現，將OT與IT完整的融合，讓資料隨時隨處可取得以便輔助商業決策，已是當前製造業數位化轉型發展趨勢。問題是OT現場工程師、廠務等工作原本並不熟悉IT維運管理與資安意識，工作流程中可能會忽略必要的安全措施，或是沿用原廠早已不再修復安全漏洞的老舊系統設備與應用軟體，這無疑增加了資安風險。

欲將資安落實到OT場域，也就是製造現場層級，范栩認為，難度相當高。他說明，首要因素是工廠的機台設備生命週期過長。製造業的設備機台價格相當昂貴，部署完成後往往須服役20年以上，早年設計時難以預知日後的安全威脅，還須持續地修補更新漏洞，若不尋求專業協助，很難有效維持產線設備的安全性。

AI驅動的安全運營對抗攻擊威脅

回顧近幾年全球最關注的資安事件，Fortinet資深技術顧問冼柏齡認為，美國輸油管業者Colonial Pipeline遭受的勒索軟體攻擊最具標誌性。該事件不僅造成重大經濟損失，更是首次使美國政府因資安事件宣布進入緊急狀態。雖然這已是三年前的事件，但美國關鍵基礎設施至今仍持續面臨類似威脅，突顯出資安問題的嚴峻程度。

在Fortinet每年發布的資安調查報告中，顯示台灣製造業是勒索軟體攻擊的主要受害行業。而其中，LockBit勒索軟體即服務(RaaS)對企業造成的危害最為嚴重。這些攻擊大多起因於用戶不慎點擊釣魚郵件或釣魚網站。冼柏齡指出，隨著生成式AI應用日趨廣泛，釣魚手法也變得越來越難以識別。他說明，運用生成式AI產生的圖片與郵件內文幾可亂真，即使提高警覺也難以完全避免上當，對OT運營構成嚴重威脅。

「面對這些新型態的資安威脅，Fortinet提倡不應僅依靠人力對抗，而是應該讓機器處理適合它們的工作，將人力資源保留給更關鍵的任務。」冼柏齡說，Fortinet在OT領域提出AI驅動的安全運營解決方案，包括基於網路資訊流、日誌記錄、端點行為模式和資安情資服務的四大AI與機器學習應用面向，以對抗新型和未知的資安威脅。

機器的身分認證　物聯網資安扮要角

在聯網裝置日益增長的應用場景中，機器的身分認證已經成為確保資安的關鍵。全景軟體總經理室資深顧問邱志成觀察，眾多國際資安標準，例如車聯網的ISO 21434、智慧電網的IEC 62351、半導體產線設備的SEMI E187等，都強調了為機器賦予身分認證的重要性。這不僅是未來的趨勢，更是即刻必備的機制。

實現機器身分認證的過程主要涉及兩大方面。邱志成說明，首先須為機器配發憑證，以便於管理。這包括憑證的申請、撤銷、更新、查詢、下載、同步等功能，有效確保設備的合法性。其次，機器必須建立信任根(RoT)，作為信任的基礎。邱志成表示，「全景軟體與英飛凌合作，利用OPTIGA TPM、OPTIGA Trust M安全晶片和PUF技術，根據獨特的物理特徵生成機器的唯一身分識別碼。」

此外，針對機器的生命週期管理，從晶片的生產製造到組裝、銷售、使用，乃至於最終的報廢，都必須受到嚴格的資安管控。在工廠生產階段，全景軟體的程式碼簽署系統和金鑰硬體安全模組(HSM)扮演著關鍵角色。產品到達客戶端後，則可提供再次驗證、自動更新、安全啟動進行管控，以免遭偽冒。

針對IT與OT融合環境，仍存在運行數十年且不易更換的設備，資策會資安科技研究所(資安所)組長黃鼎傑指出，資安所提供ICTD資安監控服務，可讓工控設備運用AI模型輔助異常偵測。主要是基於非監督式學習演算法及特徵共享機制，建立工控設備端點的正常行為模型，增加工控設備端點的防護能力並強化廠區運作的安全性。此外，2023年資安所也提供工控資安賦能解決方案ICSentry平台。藉由ICSentry平台，可提供工控資產的健診服務，協助企業快速了解整體工控網路的狀況，同時執行監控維運。甚至亦提供紅隊演練，以及改善的建議，強化落實工控安全防護。