在「智能城市」的口號下,物聯網技術已受到愈來愈多重視,但隨之而來的很可能是一波又一波的安全挑戰。在日前的 CLOUDSEC 2018 資訊保安論壇中,Trend Micro 基建策略副總裁 William Malik 就分享了在物聯網 IT 和 OT 變得更緊密的情況下,有甚麼事情需要我們注意。

IT 和 OT 是甚麼?

IoT 除了是物聯網英文「Internet of Things」的縮寫之外,更像不像 IT 和 OT 的合體?這個說法當然牽強,但在物聯網的環境下,IT「Information Technology」和 OT「Operational Technology」的確不再如以往般分隔。

甚麼是 IT 和 OT?據維基百科解釋,IT 是「是主要用於管理和處理資訊所採用的各種技術總稱」;至於 OT,Gartner 則將之定義為「透過直接監視或控制企業中的物理設備、進程和事件,來檢測或產生改變的軟件和硬件(hardware and software that detects or causes a change through the direct monitoring and/or control of physical devices, processes and events in the enterprise.)」。

而在一個物聯網的環境下,往往會有連接網絡的感應器、分析引擎和致動器(actuator),並且與非傳統的運算平台聯絡,亦即是物聯網的「IT」部分;而 OT 部分,主要涉及工業控制系統(Industrial Control System,ICS),其中包括分散式控制系統、SCADA、可程式化邏輯控制器(Programmable Logic Controller,PLC)、遠端終端裝置(Remote terminal unit,RTU)以及智能電子裝置(Intelligent Electronic Device,IED)。

Industrial Control System

(source: Trend Micro)

IT、OT 邊界漸模

自古以來,IT 和 OT 是壁壘分明,因為 ICS 一向不是使用互聯網的技術,但物聯網的出現,正正意味著傳統的 OT 亦需連接網絡,成為整個環境的一部分,使 IT 和 OT 之間的邊界開始「模糊」。

之所以用上「模糊」而非「瓦解」,是因為一方面 CIO 及其團隊開始需要對 OT 與 IT 融合時的安全負責,但另一方面,假如 OT 系統出現問題,仍然是要由 OT 工程師而非 IT 專才解決。

IT 和 OT 需要攜手合作,方能達到工業物聯網的潛在效益

(souce: Cisco)

 

IT、OT 關注點不同,物聯網安全面臨新挑戰

縱使 IT 和 OT 之間開始「模糊」,但雙方的聚焦點本身不同。OT 著重的是「安全」和「可靠」,即 ICS 不能產生問題,以及需要即時的反饙。進一步而言,IT 產品開發中的「Fail-fast」概念並不適用於 OT,因為 ICS 必須要有穩定的系統維持工業運作。

而 IT 上的安全,據 ISO 7498-2 之定義,是包括「可識別(Identification)」、「可認證(Authentication)」、「資料保密(Data Confidentiality)」、「資料正確(Data Integrity)」及「不可推翻(Non-repudiation)」。即是說,像致動器(actuator)等屬於「工業流程」而非「資訊」的東西,並非 IT 安全的範圍。

基於 IT 和 OT 的差異,開發當代物聯網環境要面對多種挑戰。第一,ICS 本身需要面對多種限制,包括安全可靠、即時反應,以及不會破壞運作的失效模式。第二,在系統的 SDLC 期間,各種的安全考量必須加入其中,亦即 DevSecOps,以減低物聯網系統出現漏洞的機會。最後,當然是將 IT 營運和 ICS 營運結合起來的問題。

潛在的物聯網人身安全風險

不好好處理以上的挑戰,隨時會引來人身安全問題。 William Malik 分享了三個例子。首先在海路運送方面,黑客可入侵船體應力系統(hull stress monitoring systems),修改貨櫃資料,把不同重量的貨櫃以危險的方式堆疊,以使貨船翻側。第二,在醫療方面,黑客可製作裝置,修改神經刺激器的電壓對病人造成傷害。

最後,在發電廠環境下,黑客可藉 Aurora Generator Test,即以電腦程式快速開啟和關閉斷路器
來破壞電網基建。 William Malik 引述 2009 年的薩揚-舒申斯克水力發電廠事故指,雖然該事故與惡意程式無關,但如果採用 Aurora Generator Test,亦可產生同樣效果。