Products 新闻资讯

新的黑暗地带:工业物联网的网络犯罪风险

日期: 2018-06-08
浏览次数: 16

      作为工业4.0的核心组成部分,工业物联网包含了云计算、大数据、网络物理系统(CPS)、机器人、增强现实和物联网等技术和交付模型。通过工业物联网的应用,无论是制造、发电、油气、污水处理,还是农业、采矿、物流,各种重资产行业都将在工业物联网中比以往任何时候要更可预测、更聪明、更高效。


       然而,和整个互联网从诞生到发展所经历的故事一样,以黑客攻击为代表的网络犯罪对工业物联网领域也绝不会“高抬贵手”。相反,他们的攻击会更大胆而凌厉,造成的破坏也将直接延伸到各种基础设施的物理层面,并对大量居民的正常生活乃至国家安全造成严重影响。


  然而,和整个互联网从诞生到发展所经历的故事一样,以黑客攻击为代表的网络犯罪对工业物联网领域也绝不会“高抬贵手”。相反,他们的攻击会更大胆而凌厉,造成的破坏也将直接延伸到各种基础设施的物理层面,并对大量居民的正常生活乃至国家安全造成严重影响。


  我们在工业4.0时代开疆拓土的同时,工业物联网的网络犯罪风险就像一个新的黑暗地带,需要从源头到应用层面进行全面防范,照进光明。


  一、工业物联网:蓬勃生长的新领域


  据麦肯锡预测,2025年,物联网的经济影响价值将达到每年3.9万亿美元至11.1万亿美元。这些价值来自于工厂、城市、家庭、零售、汽车等9个主要应用场景。其中,工厂的经济影响价值最大,每年最高可达到3.7万亿美元。由此可见,工业物理网将成为整个物联网最大的应用领域,也将带来全新的商业机会。


伴随着工业联网在未来的广泛应用预期,该领域风险投资在近几年实现了非常强劲的增长。

  伴随着工业联网在未来的广泛应用预期,该领域风险投资在近几年实现了非常强劲的增长。

  根据CB Insights数据,2012-2016年,全球工业物联网风险投资数量超过1000起,披露投资额超过67亿美元;投资数量与投资额已经实现四个年度的连续增长,复合增长率分别达到30%和34%。


在此背景下,大量的传统重资产企业正在依托工业物联网技术开发与应用,以及对外投资与并购,为未来竞争筑牢门槛;而众多的创业公司则从上下游对整个产业链带来撼动。

  在此背景下,大量的传统重资产企业正在依托工业物联网技术开发与应用,以及对外投资与并购,为未来竞争筑牢门槛;而众多的创业公司则从上下游对整个产业链带来撼动。

  有理由相信,在未来,工业物联网投资势必保持稳定增长的态势。因为,从工业4.0的基础构架,到各行业可拓展的深层应用,工业物联网将不可或缺。


  与此同时,工业物联网也将成为我国制造业升级,以及与国际巨头进行竞争的重要战场。


  二、安全威胁:工业物联网的大敌


  在几年前,我们对黑客攻击的概念可能还停留在企业IT系统层面。而现在,我们将看到,工业物联网同样无时无刻不处在黑客与网络犯罪分子的觊觎之中。


  实际上,工业物联网的安全保护与企业IT系统保护有本质的区别。对于企业IT系统而言,最大的威胁是数据被渗透、删除、无法访问,如被勒索或数据被公开。


   随着工业控制系统的发展,这种风险将转移到物理层面。


  伦敦帝国理工学院负责可信工业控制系统研究的教授Chris Hankin说:“我不认为这些威胁被夸大。”


  从他引用的数据来看,情况非常可怕。据美国工业控制系统网络应急响应小组(ICS-CERT)的统计数据显示,过去五年来网络攻击事件数量不断增加。2015年,共报道了295起事件,但与今天充斥于新闻报道的数据泄密事件相比,那都是微不足道的数据。


  最早的案例可以追溯到2000年的澳大利亚。


  黑客入侵了马卢奇郡议会的污水管理系统,并将数百万升污水泄漏到河流、公园、酒店等公共环境中。


  2015-2016年间,Charlie Miller和Chris Valasek利用车载娱乐系统远程控制一辆在高速公路上正常行驶的切诺基吉普车,进行突然加速、刹车、转向等操作。


  华威大学的网络安全中心和PETRAS物联网研究中心的Carsten Maple教授也举了一些例子。2014年,德国联邦情报局透露,德国一家钢厂的钢铁熔炉控制系统被黑客攻击,导致熔炉过热,无法正常关闭。这次攻击造成数百万英镑的经济损失。


  2016年11月25日,美国旧金山市政交通系统遭遇黑客的勒索软件攻击。最终,交通系统工作人员没有支付7.3万美元的勒索赎金,而是关闭了地铁车站的售票机和检票口,允许乘客免费乘坐两天,直到他们从备份中恢复了整个系统。


  让人吃惊的是,一些大型硬件制造商对于他们的产品防范是如此的松懈。


  2016年,美国老牌木材与造纸公司佐治亚-太平洋(601099,股吧)公司的一名前员工利用虚拟私人网络侵入到公司网络,并导致其旗下一家纸巾厂损失110万美元。


  在2015-2016年年间,乌克兰变电站受到网络攻击,导致数十万乌克兰家庭无电可用。我们不要忘记Stuxnet病毒(又称作震网或超级工厂,世界上首个专门针对工业控制系统编写的蠕虫病毒),在2009年7月至2010年9月间,Stuxnet病毒攻击了伊朗核设施中精炼铀的离心机计算机控制系统,直接破坏了伊朗国家核计划。


  然而,过往的攻击可能会让你瞠目结舌,面对即将来临的风险,上述事件微不足道。


  “如果你看ICS-CERT年度报告,就会发现,” Hankin教授说:“到2014年,大多数网络攻击事件主要集中在能源领域,2015年,尽管能源领域仍是重点受灾领域,但规模最大的网络攻击是在关键制造业。”


  三、从起步阶段设计安全防范


  总的来看,当前众多的企业对工业物联网的安全威胁疏于防范,或者只是在之前企业IT系统的基础上进行简单的、折中的升级。这势必带来“温水煮青蛙”的后果。


  Context Information Security的首席研究员Scott Lester表示:“根据我们的经验,所有传统制造商都在努力改善”。快速进入市场是一个关键问题,但他补充说:“令人惊讶的是,这些制造商对于他们的产品是如此的松懈,甚至没有考虑现有的威胁。”。


  Maple教授说,关键因素是需要意识到:在安全性方面,如果单独考虑操作技术,那么对于工业控制系统和企业IT系统是没有帮助的。在许多情况下,如切诺基吉普,它们可能会由于设计不当,未能通过沙盒测试,将驾驶系统与娱乐系统区分开来。在其他情况下,随着时间的变化可能会打开无证连接。


  Hankin教授表示:“在几乎所有我们知道的案例中,似乎企业IT系统都进行某些折中性的改进,成为获得工业物联网控制系统的一种方式。”仔细分析网络攻击可以发现,当一个混合物理网络系统被攻击时,会发现一些不同。攻击目标是截然不同的,但当工业物联网载体被从网络钓鱼电子邮件开始的复杂的Stuxnet病毒感染时,再想将企业IT系统和工业物联网控制系统分离开,已经毫无意义。

热点新闻
点击次数: 10
工业互联网时代MES新应用技术交流会随着制造产业链全球化分工日益加剧,客户对供应商现场管理能力的要求也越来越高。在工业4.0和智能制造2025的推动下,数字化智能工厂已然成为国内诸多工厂的标准实力体现。MES作为数字化工厂的一部分,解决了原材料成本、人工成本上升、生产现场管理混乱、定单杂生产效率难以提升、生产异常难以实时临控等问题,真正地可以实现精益制造及管理,是工业4.0与智能制造的必要环节。工...
2018 - 10 - 11
点击次数: 17
开门见山名词解释:名词解释:MES:所谓MES(manufacturing execution system)即为智能制造中的过程执行系统。设备银行:工业互联网极简开发工具,极简接入、分析、显示、控制。阿普奇:行业智能专用设备服务商,率先提出工业电脑模块化极简设计和免维护计算机概念,是国内领先的一家加固工业计算机生产商,也是国内第一家工业电脑上市企业,设备银行指定工业计算机品牌。EBOX:设备银行...
2018 - 10 - 09
点击次数: 11
一、前言本人从2000年开始就参与MES系统的设计和工程工作,但这并不是一个轻松的工作,有些项目历时数年也没能让用户满意,以至于有“上MES是找死,不上MES是等死”的说法。究其缘由是MES数据的不可信。为何不可信?主要是因为中小型企业用的MES系统的数据来源主要是来自于人,与管理流程息息相关,插单、变更、退单等管理不顺都会导致系统数据的错乱,从而导致管理层不信任MES。包罗万象的MES直到去年设...
2018 - 10 - 09
Copyright ©2017 - 2018 深圳市老狗科技有限公司
犀牛云提供企业云服务
关注我们
0755-8966 6680
合作交流
微信小程序
5
电话
  • 0755-8966 6680
6
二维码
回到顶部