作为工业4.0的核心组成部分,工业物联网包含了云计算、大数据、网络物理系统(CPS)、机器人、增强现实和物联网等技术和交付模型。
通过工业物联网的应用,无论是制造、发电、油气、污水处理,还是农业、采矿、物流,各种重资产行业都将比以往任何时候要更可预测、更聪明、更高效。
然而,和整个互联网从诞生到发展所经历的故事一样,以黑客攻击为代表的网络犯罪对工业物联网领域也绝不会“高抬贵手”。相反,他们的攻击会更大胆而凌厉,造成的破坏也将直接延伸到各种基础设施的物理层面,并对大量居民的正常生活乃至国家安全造成严重影响。
我们在工业4.0时代开疆拓土的同时,工业物联网的网络犯罪风险就像一个新的黑暗地带,需要从源头到应用层面进行全面防范,照进光明。
一、工业物联网:蓬勃生长的新领域
据麦肯锡预测,2025年,物联网的经济影响价值将达到每年3.9万亿美元至11.1万亿美元。这些价值来自于工厂、城市、家庭、零售、汽车等9个主要应用场景。其中,工厂的经济影响价值最大,每年最高可达到3.7万亿美元。由此可见,工业物理网将成为整个物联网最大的应用领域,也将带来全新的商业机会。
伴随着工业联网在未来的广泛应用预期,该领域风险投资在近几年实现了非常强劲的增长。
根据CB Insights数据,2012-2016年,全球工业物联网风险投资数量超过1000起,披露投资额超过67亿美元;投资数量与投资额已经实现四个年度的连续增长,复合增长率分别达到30%和34%。
在此背景下,大量的传统重资产企业正在依托工业物联网技术开发与应用,以及对外投资与并购,为未来竞争筑牢门槛;而众多的创业公司则从上下游对整个产业链带来撼动。
有理由相信,在未来,工业物联网投资势必保持稳定增长的态势。因为,从工业4.0的基础构架,到各行业可拓展的深层应用,工业物联网将不可或缺。
与此同时,工业物联网也将成为我国制造业升级,以及与国际巨头进行竞争的重要战场。
二、安全威胁:工业物联网的大敌
在几年前,我们对黑客攻击的概念可能还停留在企业IT系统层面。而现在,我们将看到,工业物联网同样无时无刻不处在黑客与网络犯罪分子的觊觎之中。
实际上,工业物联网的安全保护与企业IT系统保护有本质的区别。对于企业IT系统而言,最大的威胁是数据被渗透、删除、无法访问,如被勒索或数据被公开。
随着工业控制系统的发展,这种风险将转移到物理层面。
伦敦帝国理工学院负责可信工业控制系统研究的教授Chris Hankin说:“我不认为这些威胁被夸大。”
从他引用的数据来看,情况非常可怕。据美国工业控制系统网络应急响应小组(ICS-CERT)的统计数据显示,过去五年来网络攻击事件数量不断增加。2015年,共报道了295起事件,但与今天充斥于新闻报道的数据泄密事件相比,那都是微不足道的数据。
最早的案例可以追溯到2000年的澳大利亚。
黑客入侵了马卢奇郡议会的污水管理系统,并将数百万升污水泄漏到河流、公园、酒店等公共环境中。
2015-2016年间,Charlie Miller和Chris Valasek利用车载娱乐系统远程控制一辆在高速公路上正常行驶的切诺基吉普车,进行突然加速、刹车、转向等操作。
华威大学的网络安全中心和PETRAS物联网研究中心的Carsten Maple教授也举了一些例子。2014年,德国联邦情报局透露,德国一家钢厂的钢铁熔炉控制系统被黑客攻击,导致熔炉过热,无法正常关闭。这次攻击造成数百万英镑的经济损失。
2016年11月25日,美国旧金山市政交通系统遭遇黑客的勒索软件攻击。最终,交通系统工作人员没有支付7.3万美元的勒索赎金,而是关闭了地铁车站的售票机和检票口,允许乘客免费乘坐两天,直到他们从备份中恢复了整个系统。
让人吃惊的是,一些大型硬件制造商对于他们的产品防范是如此的松懈。
2016年,美国老牌木材与造纸公司佐治亚-太平洋(601099,股吧)公司的一名前员工利用虚拟私人网络侵入到公司网络,并导致其旗下一家纸巾厂损失110万美元。
在2015-2016年年间,乌克兰变电站受到网络攻击,导致数十万乌克兰家庭无电可用。我们不要忘记Stuxnet病毒(又称作震网或超级工厂,世界上首个专门针对工业控制系统编写的蠕虫病毒),在2009年7月至2010年9月间,Stuxnet病毒攻击了伊朗核设施中精炼铀的离心机计算机控制系统,直接破坏了伊朗国家核计划。
然而,过往的攻击可能会让你瞠目结舌,面对即将来临的风险,上述事件微不足道。
“如果你看ICS-CERT年度报告,就会发现,” Hankin教授说:“到2014年,大多数网络攻击事件主要集中在能源领域,2015年,尽管能源领域仍是重点受灾领域,但规模最大的网络攻击是在关键制造业。”
三、从起步阶段设计安全防范
总的来看,当前众多的企业对工业物联网的安全威胁疏于防范,或者只是在之前企业IT系统的基础上进行简单的、折中的升级。这势必带来“温水煮青蛙”的后果。
Context Information Security的首席研究员Scott Lester表示:“根据我们的经验,所有传统制造商都在努力改善”。快速进入市场是一个关键问题,但他补充说:“令人惊讶的是,这些制造商对于他们的产品是如此的松懈,甚至没有考虑现有的威胁。”。
Maple教授说,关键因素是需要意识到:在安全性方面,如果单独考虑操作技术,那么对于工业控制系统和企业IT系统是没有帮助的。在许多情况下,如切诺基吉普,它们可能会由于设计不当,未能通过沙盒测试,将驾驶系统与娱乐系统区分开来。在其他情况下,随着时间的变化可能会打开无证连接。
Hankin教授表示:“在几乎所有我们知道的案例中,似乎企业IT系统都进行某些折中性的改进,成为获得工业控制系统的一种方式。”仔细分析网络攻击可以发现,当一个混合物理网络系统被攻击时,会发现一些不同。攻击目标是截然不同的,但当载体被从网络钓鱼电子邮件开始的复杂的Stuxnet病毒感染时,再想将企业IT系统和工业控制系统分离开,已经毫无意义。
责任编辑:朱虹瑾
