无论是木马还是其它恶意软件,事实上这样一些数字害虫今天几乎可以在所有的电子设备领域中肆掠横行,IT专业人士Nicolas Ehrschwendner警告说。人们可能不愿相信,诸如硬盘、SSD(固态硬盘)和USB记忆棒之类的数据存储器以及复印机、汽车、电视机和咖啡机都会受到威胁,汉堡Attingo数据恢复公司总经理说道。受到黑客攻击的咖啡售货机也许只会提供乏味的液体,这种事情人们或许可以接受,但如果受攻击的是工业控制,情况就完全不一样了。
三分之一的企业出现过重大安全问题
在此背景下,德国Bitkom协会(联邦信息技术,电信和新媒体协会)的ITK(信息与电信协会)分会几天前所做的一份问卷调查结果令人吃惊,在过去两年中,几乎有三分之一的德国企业出现过IT方面的安全问题,涉事企业的比例与去年所做的相关调查结果相同。“德国企业已经成为网络犯罪以及外国情报机构关注的目标”,德国Bitkom协会会长Dieter Kempf教授说道,并象征性地竖起食指:“确保安全防护措施处于最新状态同时定期投资保护自己的IT系统越来越重要”。
出现IT安全问题的中小企业数量远远高于大型企业这一事实特别令人担忧,ITK协会的最新调查显示,员工人数为20-499人的企业几乎有三分之一被涉及,而员工人数超过500人的企业则几乎有五分之一存在此类问题。“尽管大型企业往往是受攻击的目标,但鉴于其人员、财务以及技术方面的资源通常能够更好地抵御攻击”,德国Bitkom协会会长Dieter Kempf谈道,这也唤醒了具有特定技术知识的创新型中小企业抵御黑客和情报犯罪的愿望。如果连咖啡售货机都能被操纵,使其吐出劣质咖啡或压根不吐咖啡,那么要是 “数字害虫”进入工业控制系统,进入网络或控制室,并通过web攻击机器、设备或整个工厂的话,风险又是多大呢?
工业4.0的目标是让尽可能多的信息实现数字化,其结果是,整个企业的系统将实现相互和内外联网,这一过程从机器、传感器和生产设备的现场设备开始,经过MRS和ERP系统,直至市场、销售和采购。价值链沿线的IT系统联网也将被大力推动。
据BSI估计,到2020年,德国在工业4.0领域的投资将高达110亿欧元左右,从长期来看,如果不希望危及自身竞争力的话,那么就没有一家企业可以置身于数字化和联网这一趋势之外,于是人们只好容忍企业的外部界限日益模糊,这便为那些心怀叵测的人开启了新的攻击区域,此外IT系统是可攻击的,远离互联网的所谓“内部系统”根本无法实现。随着互联的深入,IT安全方面的风险会与日俱增,因此从逻辑上讲,由于生产或经营过程的中断或出错使企业蒙受经济损失的风险也会增加。
这些威胁并非假设,而是真实存在的,最近由媒体报道的相关具体事例不胜枚举,在感染了由办公网络带入的所谓Zotob病毒(据估计)后,一家美国汽车制造商的13条加工生产线停止运转,造成大约1300万美元的损失。在一家化工厂,PE-Sality病毒导致上级监控系统出现8个小时的瘫痪。特别重大的一次事件发生在2014年,由于下载了Conficker蠕虫病毒导致一个高炉遭受攻击,无法控制关闭,造成大规模设备损坏。根据VDMA在2013年所做的一项调查,德国29%的机器和设备制造商都有过因安全问题导致的生产故障。
自从出现STUXNET(超级工厂病毒)后,问题防范意识有了明显改善
“恰恰是在几乎所有领域的过程控制系统都不再是闭关自守,而是相互联网的工业4.0时代,极其复杂且动态交织的国内和国际网络信息结构需要一个能够抵御内部和外部威胁的不间断防护系统,”Ottobrunn的网络安全公司IABC的Tom Koehler说道。一位来自VDMA的人士认为,没有数据和知识产权保护的跨企业生产过程对于工业4.0来说是无法想象的。
这样的警告完全为人们所接受,因为自从2010年遭到Stuxnet攻击后,行业的安全意识有了明显提升。2月10日在法兰克福美因河畔举办的、深受好评的VDMA产业安防资讯日也是对此的证明,人们分别从各种技术和法律角度对安全问题进行了探讨,因为工业4.0设备生成的大量数据究竟归谁所有这样的法律问题也需要澄清。
工业4.0范畴内的安全问题必须实事求是地予以对待
不过也没有理由恐慌,这应该是VDMA活动所传递的最重要的信息。趋势科技公司的安防专家Udo Schneider在其报告中认为,德国工程师可能会做很多事情,但绝不喜欢冒险,从设备安全角度来看这是好事,但从IT安防角度出发则是坏事,毕竟一种没有理由的感觉-因为有风险,所以最好不碰它-可能会阻碍人们实事求是地对待工业4.0范畴内的安全问题。“人们可以让一个生产过程更加安全,但却无法确保绝对安全”,安防专家称,因为“新软件层出不穷,随之而来的安全漏洞也越来越多”。追求安全的机器制造商(机器准则)和受过安全训练的“IT Fuzzi”(schneider)之间的“文化冲突”必须克服。“安全和安防专家必须坐在一起共同寻找解决方案”,毕竟他们有一个共同点:“他们都熟悉评估和降低风险的过程”,Scheider这样说道。如同安全问题一样,安防领域同样也有各种框架,其中包括ISO27XXX(ISMS建设/运营)、ITIL—信息技术基础设施库或COBIT(测试基础;IT控制,合规)。
工业安保需要办公室方案和匹配方案的组合
如趋势科技公司的安防专家Udo Schneider在VDMA安防资讯日上所介绍的那样,当然有一些技术解决方案,通过办公领域的标准IT方案、杀毒软件、防火墙以及加密技术,人们在工业安防方面已经取得了一些成效。然而越接近操作层面,就越需要匹配的解决方案。
Infineon(英飞凌科技公司)业务经理Detlef Houdeau博士在法兰克福对曾在国内IT峰会上介绍过的工业4.0设备的安全远程控制进行了一次示范,使用这种安全架构可以避免5种不同的威胁:
(通过加密和带密码的平板电脑提供社交工程(内部窥探)方面的保护。
(通过硬盘加密防止平板电脑中的企业数据丢失。
(通过使用经过完整性测试的网络组件保护分配式企业网络的完整性。
(通过加密通信渠道确保端对端通信。
(通过源代码的加密存储保护知识产权。
该方案由一个使用安全元件的加密狗以及一个使用来自Fraunhofer-SIT(弗劳恩霍夫安全信息研究所) 的Raspberry-Pi(树莓派:一款基于Linux系统,仅为一张信用卡大小的个人电脑)和安全元件(英飞凌科技公司的TPM芯片)的赫斯曼路由器组成。所有“安全锚”均为德国制造,只有这样才能保证数字主权,Houdeau表示:“对于国外购买的设备,人们虽然了解其基本功能,但却根本不知道它们还有哪些作用”。系统在今年应该可以投入使用,作为集成商的德国电信除了接管后面的一体化进程(基础设施服务、旧设备封装以及企业权限管理)外,还将负责网络监管,用户是那些没有庞大的IT部门、更喜欢使用完整包的中小企业。
评论
加载更多