[網絡保安]
近年不少基建及工業設施,包括電網甚至輸油管受到網絡攻擊,近期美國網絡安全及基建安全局(CISA),聯同美國能源部、國家安全局、聯邦調查局,罕有發出警告,指黑客以進階持續性威脅(APT),針對工控系統(ICS)/ 監控和數據採集(SCADA)等營運科技(Operational Technology,OT)系統發動攻擊,要求業界警愓安全風險。
傳統上,OT科技系統很少關注網絡安全,原因是系統往往與世隔絕,不會連接至互聯網,但隨物聯網技術興起,工廠紛紛引入智能技術和機器人,數據傳送分析或機器學習,不少設備須上網,攻擊面大增。ICS和SCADA系統幾乎無處不在,全球的基礎設備;包括核電站、電網、發電設備、運輸業、輸油、工廠、公共事業,都有不同的控制和數據採集系統,無一不正受威脅。
全方位自動化網絡保安服務方案供應商 Fortinet曾公佈《2021 OT與網絡安全現況調查報告》(2021 State of Operational Technology and Cybersecurity Report),顯示有九成的OT營運科技,2020年至少被入侵一次。
Fortinet東南亞及香港地區資訊安全總監鄺偉基指,OT設備數量大,加上位置分散,全天候運作,要求快速部署和穩定,保安以往不是優先考慮;傳統上認為只要機器不上網,系統與外界隔離接觸,即所謂「實體隔離」(Air Gap)部署,就可以安寢無憂。
實體隔離難以實行
較早前,Fortinet舉辦Fortinet Secure Operational Technology 2022,討論了OT保安趨勢,不少講者以為傳統OT確可與其他系統分開,但隨著設備產生大量的數據,加上設備智能化,不少數據須傳送IT系統分析,
鄺偉基說,例如智能電錶等蒐集數據,要送至財務系統處理,OT系統完全可實體隔離的系統,愈來愈少。
「不少工業發現,愈來愈難建立完全與外界隔離的系統,系統有時要遠程登入維護,或者進行遠程監察,甚至要接入雲端。」鄺偉基指,即使系統位於封閉的狀態,數據還是有可能在邊緣位置被竊。以色列有大學證實了能以惡意程式,通過控制記憶體的電流,產生出2.4GHz的WI-Fi頻率,毋須管理權限可在附近透過Wi-Fi下載數據,稱之為「AIR-FI」攻擊。
清晰分界釐清權責
上述聽似間諜情節,足以證明即使沒有網絡,黑客亦可下手。鄺偉基說,黑客可從設備的實體連接埠盗取數據或接入,任何邊緣設備均須從設計階段,加入保安設計(Security by design),確保不受干擾。
以往管理OT系統的團隊,較少經驗處理資訊保安,有時黑客確可長驅直進。鄺偉基指,資訊科技(IT)團隊一般網絡保安經驗豐富,有時礙於團隊交流不足,導致出現真空,所以清晰理解數據的流向,釐清擁有權誰屬,IT和OT有清晰分界後,就能落實保護責任。
其次是企業可建立數據策略,掌握數據分類,尤其OT會產生大量數據,必須權衡數據優次和保留策略,無論儲存和傳送的階段,數據應全程加密。
軟件漏洞成致命傷
不過軟件漏洞始終是OT系統最大弱點;OT採用了大量單板電腦和微處理器(MCU),廠商設計時往往只集中功能,不特別考慮到保安;到了設備上線之後,可能就是全天候操作,甚至24×7,即使發現了漏洞,也再沒時間停機更新修補軟件。
OT系統經常發現弱點,但修補漏洞速度不如IT系統,即使軟件供應鏈,有時亦被黑客攻擊,難確保滴水不漏,留下攻擊後門。
鄺偉基說,OT產生數據量異常龐大,而IT團隊經常可能通過API,以方便與OT交換數據,預計API保安將是重要課題。
長遠而言,鄺偉基以為OT應建立客觀量度標凖和管治機制,長遠才可管控風險;IT資訊科技早有國際標準組織定義的管理標準,例如ISO27001標凖持續改善。OT暫沒相應工業標凖,業界亦出現針對工控系統IEC 62443保安標凖,而 Fortinet方案亦遵從有關標凖。
無論如何,OT須堵塞軟件漏洞,實施專門用於OT的零信任(ZTNA)機制,杜絕連網帶來風險,一旦OT環境內有軟件漏洞和風險,而作業系統或軟件又暫未獲原廠修補更新之前, Fortinet防火牆可以採用針對漏洞入侵的虛擬修補(Virtual Patch),以防範入侵,馬上堵塞漏洞。
智能化設備和物聯網是大勢所趨,令基建和工業生產效率大幅躍進,不過OT系統保安無法與時並進,就難以享受帶來的好處。