卡巴斯基、啟明星辰、上海控安專家暢談工控安全
提起工控安全,很多使用者企業的態度總讓人覺得“曖昧不清”,“安全第一”的口號喊得響噹噹,但落實到現場往往一言難盡,這一點相信很多圈內朋友比我們有更深的體會。
這其實也無可厚非,烏克蘭電網遭受攻擊、伊朗核電站被入侵、委內瑞拉最大發電廠被蓄意破壞……大多時候對於安全的重視都是始於不同程度的安全事故的。但在事故頻發過後,依舊有相當一部分企業抱有僥倖心理,把自己擺在“吃瓜群眾”的位置,並沒有將事故與自身安全隱患聯絡到一起。
製造企業潛意識裡對於安全有多重視?難道工控安全就只能亡羊補牢嗎?立足相關話題,我們和工控安全領域的供應商展開了討論,就當前很多使用者的觀念和做法分析了可能產生的相關隱患,希望能夠引起大家對於安全問題的重視。
安全事故的“三宗罪”
-
功能安全不到位(OT)
說到功能安全,很多使用者也許會覺得太“老生常談”了,畢竟與自動化一同發展,功能安全相比之下已經比較成熟,在智慧檢測的帶動下,已經實現裝置自身的安全保障,而且隨著聯網化以及人工智慧等新技術的發展,預測性維護已經成為保證功能安全的有效手段。
然而,在將物聯網融入到生產的過程當中,很多企業並沒有充分將安全問題考慮在內。
針對裝置漏洞問題,綠盟科技釋出了《2019工業控制系統資訊保安保障框架》報告,統計了工控漏洞涉及的裝置。
由圖可以看出,工控系統裝置漏洞問題日益嚴重。工控廠商的維護和測試周期一般比較長,漏洞修補不及時。而且即便廠商釋出了漏洞補丁,工控現場的裝置因為要連續執行,再加上管理上、技術上等各種原因,補丁不能及時得到安裝,導致工控裝置的漏洞一直得不到及時修補並且缺乏有效的漏洞管理手段。
日積月累,如果不能採取相應的安全管理措施,輕則宕機影響生產,嚴重的話可能造成重大損失。
當前,國內工控安全市場還處於國家監管引導的階段,儘管企業安全意識不斷得到提升,但為了合規而合規的現象非常普遍。
虎特科技總經理 趙昱指出:“近年來,隨著國家對於工業領域,特別是基礎設施安全的重視,已經相應出臺了非常多的法規和標準,但是這些標準分屬不同的行業和體系,有一定的重複和矛盾,企業在執行層面有一定的困擾。在落實過程中,企業需要作出一定的投入和改變,因此也有相當的牴觸和阻擾。有些企業為了合規而投資工控安全,在日常生產中,甚至對工控安全產品閹割使用,只監不控,使得防護措施形同虛設。”
對於很多供應商來說,合規性服務是當前使用者諮詢非常多的業務,這說明國家監管確實讓一些企業開始部署安全設施,但僅為了應付檢查而開展合規性工作,忽略自身安全問題,就有點兒本末倒置了。
-
資訊保安不重視(IT)
2016年,三一重工近千臺工程機械裝置遭非法解鎖破壞,波及多個省份,直接經濟損失達3000餘萬元,間接損失近十億元;2018年,Wannacry的變種侵入了代工晶片製造商臺積電,導致其停產三天,預計經濟損失高達17.4億元人民幣……儘管資訊攻擊轉變成物理傷害的案例逐漸增多,仍有一部分企業並沒有意識到自身存在的資訊保安問題。
卡巴斯基實驗室大中華區總經理 鄭啟良表示:“很大一部分廠商在資訊防護方面還主要採用所謂的內網,以及傳統的防火牆、白名單等,並沒有意識到資訊保安的重要性。這些傳統的資訊防護方式已經非常侷限。即便不採用開放網路,在軟體以及補丁等的更新過程中還是會存在入侵風險。而且,隨著網路化的不斷滲透以及雲端計算應用的持續覆蓋,外部攻擊更是無孔不入。”
據悉,工控行業在資訊保安方面的投資是非常少的,很多廠商對於資訊攻擊的認識不夠,所以並沒有部署相應的資訊保安評估。反觀黑客組織,病毒開發、攻擊漏洞、技術培訓以及暗網平臺等工作開展得相當高效,儼然形成一條完善的產業鏈。
如果使用者企業不能正確應對資訊攻擊,那只有“坐等攻擊,過後修復”的份兒了。
-
人員管理太表面
就在上個月,響水爆炸事故傷亡情況嚴重,引發強烈關注,在這一事件中,人員管理培訓問題再度引起討論。
在很多技術水平不高的中小企業中,人員在決策環節依舊起著關鍵作用然而,在生產現場,流於形式的人員培訓依舊普遍存在。很多工人對於裝置控制規範都沒有非常清晰的認識,更何況是現場安全規範。
裝置落後、成本有限姑且算是是桎梏安全的主要因素,但是“人禍”頻發,是不是更能說明企業對待安全問題的態度有待端正呢?
立足這一現狀,很多安全廠商都提供人員培訓服務,為使用者廠商提供更全面的支援,相信由人員造成的悲劇能夠越來越少。
安全部署真有那麼難嗎?
首先不得不說,安全的實現的確很難,對於大多是企業來說,安全投資勢必要增加相應的成本,對於中小企業來說資源問題也是阻礙他們落實工控安全的一大原因,而且,隨著技術更新,安全產品也必須緊跟著迭代,這一定會造成持續性的成本投入。
對於大型企業來說,其技術水平往往較高,體量較大,在安全領域同樣走在前面,已經有了較為成熟的部署,而對於中國市場中較大佔比的中小企業來說,其實基本的安全也並不難實現,從長遠角度來看其價值要遠大於投入。
啟明星辰工業網際網路安全事業部技術總監 趙軍凱提出了“基線概念”:“基線是一個策略性概念,可以由裝置本身實現,使用者對於安全的期望、標準以及合規性要求,都可以作為基線的重要的參考方向。企業可以依據自身條件選擇合適的方案,讓安全更加貼近工廠,達到相對安全的一個平衡,以最小的成本達到安全保障效果。”
由此可見,成本並不是制約安全的最大因素,更多企業的痛點在於並不瞭解工控安全,不知道要如何落地。對此,為幫助更多中小企業,很多安全廠商已經聯合起來,積極合作搭建平臺,為缺乏資源和相關專業知識的企業提供支援,上海控安就是其中的代表。
上海控安解決方案部總監 尹欣表示:“工控安全是通過不同保護手段實現分級保護的,從工藝過程設計、控制系統、報警管理、安全儀表系統、釋放裝置、物理保護、以及應急響應等。圍繞‘安全+’服務,上海控安在強化自身功能安全與資訊保安的技術能力的同時,也積極與上下游企業展開合作,發揮上海市研發與轉化功能型平臺的作用,聚集一大批中小安全企業,提供泛安全平臺服務,為提高我國關鍵基礎設施的安全水平不斷進取。”
結語:受制於當前發展階段,很多企業對於安全問題的忽視和得過且過也許無可厚非,但在安全事故頻頻發生過後,企業如果想要走的長遠,就必須將安全提上日程。
轉載自 中國工控網