一隻電腦病毒,可以影響一個機台、一條產線,甚至能夠跳廠、跳區、跳國。台灣電子供應鏈近年受到高價值肯定,也成為駭客盯上的肥羊,廠家聞之色變的「擄機勒贖」「挾密勒索」,正在暗處蔓延。
問起製造業大老有沒有遇到駭客攻擊?是不是「擄機勒贖」的受災戶?「遇到?當然有,都先付了贖金,讓機器可以生產,再來看怎麼處理,這些事都是不能說的」,大老略顯苦楚地神祕一笑,其實其來有自。
近年電子供應鏈頻頻遭受病毒感染,甚至是駭客攻擊,舉凡台積電、宏碁、日月光集團、台達電、技嘉等知名大廠,紛紛「確診」,有些甚至被歹徒盯上,索賠動輒上億元贖金,資訊安全成為眾所關注的營運韌性節點。
近年資安事件之中,損害金額最高的是台積電2018年8月的機台中毒事件。一次新機台安裝過程,並未完成掃毒,連上內部網路之後導致病毒擴散,幾個小時就迫使新竹、台中、台南三廠受到影響,產線上的半成品或得報廢,僅僅三天的資安風暴,就迫使台積電當季認列高達台幣25.96億元損失。
又如2022年1月,駭客組織聲稱入侵台達電6.5萬台電腦,部署勒索軟體,索討1,500萬美元(約台幣4.7億元)的贖金。台達電僅低調公告,部分資訊系統遭受攻擊,清理重置之後,數日後恢復正常。據了解,台達電選擇加強防護,並未付出贖金。
兩個事件分別代表兩種資安危機──設備機台防毒能力弱、駭客主動式攻擊,兩者都讓廠家心痛頭疼。
趨勢科技《2022年上半年網路資安報告》指出,上半年全球威脅情報網,共攔截620億次以上的威脅,相較於前一年同期的10億次,三年之間以每半年增加一倍的速度高速成長,多半認為與遠距/混合上班模式有關。活躍的網路社會,誘發病毒快速流竄,也誘使駭客集團活躍製毒。
值得關注的是,駭客攻擊對象近年轉向製造業,根據2022 IBM年度資訊安全威脅報告,2021年全球製造業被攻擊的數量,首次超越金融業;跨國製造工廠與供應鏈相關企業成為駭客重點攻擊對象。
台達電資安長曾立峰慨嘆,每一次的資安事件,對他來說都是大事:「網路攻擊是不會停止的,資安事件讓我們學到不少事,快速體檢了我們的弱點,也重新檢視資安防護計畫,讓部署更扎實。」
關於駭客攻擊,其實是個老議題,在網際網路啟動初期的1982年,就出現第一隻非實驗室製造的電腦病毒,為何遲至今日,才成為製造業之憂?
主要是因為過去生產機台(Operation Technology, OT)處於封閉環境,機台不連網路,感染機率相對低。IBM資深資安技術顧問劉泰興分析,雖然現今製造業多數仍是維持內部封閉、半封閉的網路特性,但隨著資訊科技(Information Technology, IT)導入,仍需要將系統相連,成為內部網路,也讓駭客有了可乘之機。
製造業部署資安,三大難題待克服
難道智慧製造等同於「風險製造」?探究內部原因,製造業部署資安其實有結構性困難。
一是機台防護意識低落。平常使用個人電腦的人,大致都知道要加裝防毒軟體,但製造業的機台管理思惟,以前主要在於可用性與生產效率,資安並非重點項目,許多生產機台就算使用微軟作業系統,也並未加裝防護,因此,古老的蠕蟲程式就能造成癱瘓。
二是機台迭代不相容,管理難度加劇。工業4.0與智慧製造議題,已發展超過十個年頭,所有工廠或多或少都有自動化生產設備,不同時期、不同廠商、甚至是不同代的機台,都加重管理負擔。
劉泰興表示,難以管理,是機台防衛不足的原因,舊系統殘存,無法更新,或是因為機台預設系統的限制,無法更新,或是單純沒有管理規範,而無法更新,都讓機台暴露在危險之中。
(Source:shutterstock)
三是駭客行為的改變,這也是最重要的一環。
工業資安公司TXOne執行長劉榮太表示,駭客目的從炫耀技術能力,變成「索討金錢」,因為加密貨幣難以追查的特性,更創造了犯罪空間,駭客集團不僅大方公告入侵,贖金的「營收」甚至可以查到。
「駭客也是人,他們也想做少一點事,多賺一點錢,當金融業防護增強,不好攻入時,就轉往好攻的製造業了,」劉榮太直言,綁架機台是一種形式,盜取有價值的資料則是另一種形式:「現在的駭客,兩種都要。」
實務上,製造廠房的機台數量動輒上千台,產線暫停,全面清毒平均需要一至四週,若有涉及客戶的文件被盜取,更將面臨客戶求償,以及信譽受損的巨大風險。
那麼是不是先付贖金,贖回機台與機密,而後補上漏洞就好?
劉榮太表示,如果是產線問題,也許可以慢慢重啟,但若是對方拿著客戶資料威脅,業主多數會想盡快解決:「但付錢還真不見得有用,有的駭客製了毒,沒有做解藥;有的駭客收到錢就斷訊,消失了。不管怎麼樣,後續補上漏洞,還有一堆的資安防護要做。」
資安做得好,才做得到生意
整體來看,目前製造業之中,對資安防護警覺度高的,主要是曾經「痛」過的企業,另一個類型則是因為「客戶要求」。
一位製造業資安主管表示,「資安即國安」其實距離他們有些遙遠,但客戶要求非常真實,達不到要求,就做不成生意。
鴻海研究院執行長李維斌坦率說,鴻海資安做得好,是因為背後有蘋果大客戶對供應商的各種要求,資安沒有做好就沒有訂單,所以,資安一定得做好。
現在兼任鴻海資安所所長的他,近期組建資安研究團隊,協助集團應戰日益升高的駭客攻擊。
日月光投控資安長汪渡村則樂觀解讀,資安升級才能拿到大客戶訂單,也才能帶動產業升級。「兩者是並行的」,他說。
鑑於駭客攻擊頻繁,政府連番祭出新則。
2021年4月,證交所明訂上市公司重大資安事件需發布重大訊息﹔金管會又在2022年6月要求上市櫃公司,設立資安單位,第一階段要求資本額100億元以上大型企業,年底完成「資安長」設置。
工作準則方面,目前由台灣產業主導的半導體資安標準規範SEMI E187,以台積電為核心,向上下游推動,四大要點包括:作業系統規範、網路安全、端點防護安全、持續性監控,以「安全的生產環境」作為其他製造業的工作範本。
駭客無所不在,攻擊技法更是推陳出新,不變的是,駭客總是找攻擊成本不高、有價值的資產下手。
製造業近年在種種資安事件中,學習加強防衛、保護機密資料,接下來還將發揮「民間即戰力」,透過同業間的訊息通報連動,打造產業聯防陣線。
(本文由 遠見雜誌 授權轉載;首圖來源:shutterstock)