不管是那一種機台設備,即便是單價動輒數千萬、甚至上億元新台幣的半導體製程設備,裡面用的軟體往往都還是非常老舊。這是因為機台設備所搭載的軟體,都是以穩定、高效率執行為最高原則,但面對日新月異的駭客攻擊手法,以及層出不窮的惡意軟體威脅,這種穩定、效率至上的OT思維,正面臨嚴重考驗。
對各種工業機台的使用者跟設備製造商而言,如果機台搭載的軟體經常更新,軟體工程團隊未必有足夠時間將其調整到最佳狀態。另一方面,機台作業系統(OS)的更新,更是個浩大工程,不僅OS本身的穩定性需要重新驗證,在OS上執行的各種舊軟體,還有可能出現相容性問題,需要一個個仔細檢視。
這使得目前製造業所使用的機台設備,不管是採用Linux或微軟(Microsoft)的Windows OS,往往都是很多年前的舊版本。以半導體設備為例,據台積電提供的統計數據顯示,目前在各大晶圓廠裡所使用的設備,大多仍使用Windows XP,即便是新採購進來的機台,搭載的也還是Windows XP。眾所周知,微軟早在很多年前就已經停止更新Windows XP,即便是接續Windows XP的Windows 7,也將在2020年1月停止支援。換不掉的Windows XP,使得半導體設備暴露在極高的資安風險中。
事實上,半導體產業只是整個工業設備的縮影,其他設備所使用的軟體也都有類似問題。如CNC工具機、機器手臂的控制器,到石化、鋼鐵業的連續製程系統,裡面所使用的軟體普遍都很老舊。
面對這個問題,微軟現場網路安全技術長Diana Kelley表示,設備產業跟製造業者都必須在心態上徹底調整。對於IT領域的資訊安全人員來說,永遠假設系統已經被攻破,是很基本的心態。換言之,IT領域的資安人,最優先思考的,其實是應變劇本跟損害管控,然後才開始倒推回去,找出系統可能存在的弱點,並予以補強。
但OT領域的資訊人員普遍還沒有這種觀念,因為OT有自己的獨立網路跟層層防火牆保護,所以OT的資訊人員危機意識其實還不太夠。Kelley在拜訪客戶的過程中,就曾發現有客戶的OT伺服器裡面被安裝了電玩遊戲軟體。這顯示OT的資訊人員,對於資安的風險意識還是非常薄弱的。
就微軟的角度來看,在解決老舊軟體、作業系統的安全問題之前,OT領域的資訊人員應該要先加強危機意識,之後再來探討該如何用新技術來修補問題。有很多新的資安技術可以應用在OT設備上,例如導入白名單機制,嚴格限制機台上可以安裝的應用軟體種類,並且對應用軟體的執行狀況進行嚴密監管,確保應用軟體無法執行它不該進行的操作。
此外,如果狀況許可,導入雲端其實也有助於提高OT設備的安全性。這個說法看似跟資安常識背道而馳,但事實上雲端業者對資安技術的掌握度跟風險意識,往往比很多製造業者來得高,反應速度也更快。以微軟的Azure雲端服務來說,當某個用戶的應用系統感染到病毒或惡意軟體,只要一被偵測到,馬上就會被隔離,因此災情很難進一步擴大到其他使用者身上。
總結來說,不管是IT還是OT,面對資安風險的因應之道,都是保護、偵測與反應這三個環節。但反應的重要性常常被輕忽,因為一般提到資安,都是在談保護跟偵測,然而,在資安事件發生時,能否迅速反應,將決定其受害的輕重程度。