本文首發(fā)于微信公眾號:資本實驗室。文章內容屬作者個人觀點,不代表和訊網立場。投資者據此操作,風險請自擔。
作為工業(yè)4.0的核心組成部分,工業(yè)物聯(lián)網包含了云計算、大數據、網絡物理系統(tǒng)(CPS)、機器人、增強現實和物聯(lián)網等技術和交付模型。
通過工業(yè)物聯(lián)網的應用,無論是制造、發(fā)電、油氣、污水處理,還是農業(yè)、采礦、物流,各種重資產行業(yè)都將比以往任何時候要更可預測、更聰明、更高效。
然而,和整個互聯(lián)網從誕生到發(fā)展所經歷的故事一樣,以黑客攻擊為代表的網絡犯罪對工業(yè)物聯(lián)網領域也絕不會“高抬貴手”。相反,他們的攻擊會更大膽而凌厲,造成的破壞也將直接延伸到各種基礎設施的物理層面,并對大量居民的正常生活乃至國家安全造成嚴重影響。
我們在工業(yè)4.0時代開疆拓土的同時,工業(yè)物聯(lián)網的網絡犯罪風險就像一個新的黑暗地帶,需要從源頭到應用層面進行全面防范,照進光明。
一、工業(yè)物聯(lián)網:蓬勃生長的新領域
據麥肯錫預測,2025年,物聯(lián)網的經濟影響價值將達到每年3.9萬億美元至11.1萬億美元。這些價值來自于工廠、城市、家庭、零售、汽車等9個主要應用場景。其中,工廠的經濟影響價值最大,每年最高可達到3.7萬億美元。由此可見,工業(yè)物理網將成為整個物聯(lián)網最大的應用領域,也將帶來全新的商業(yè)機會。
伴隨著工業(yè)聯(lián)網在未來的廣泛應用預期,該領域風險投資在近幾年實現了非常強勁的增長。
根據CB Insights數據,2012-2016年,全球工業(yè)物聯(lián)網風險投資數量超過1000起,披露投資額超過67億美元;投資數量與投資額已經實現四個年度的連續(xù)增長,復合增長率分別達到30%和34%。
在此背景下,大量的傳統(tǒng)重資產企業(yè)正在依托工業(yè)物聯(lián)網技術開發(fā)與應用,以及對外投資與并購,為未來競爭筑牢門檻;而眾多的創(chuàng)業(yè)公司則從上下游對整個產業(yè)鏈帶來撼動。
有理由相信,在未來,工業(yè)物聯(lián)網投資勢必保持穩(wěn)定增長的態(tài)勢。因為,從工業(yè)4.0的基礎構架,到各行業(yè)可拓展的深層應用,工業(yè)物聯(lián)網將不可或缺。
與此同時,工業(yè)物聯(lián)網也將成為我國制造業(yè)升級,以及與國際巨頭進行競爭的重要戰(zhàn)場。
二、安全威脅:工業(yè)物聯(lián)網的大敵
在幾年前,我們對黑客攻擊的概念可能還停留在企業(yè)IT系統(tǒng)層面。而現在,我們將看到,工業(yè)物聯(lián)網同樣無時無刻不處在黑客與網絡犯罪分子的覬覦之中。
實際上,工業(yè)物聯(lián)網的安全保護與企業(yè)IT系統(tǒng)保護有本質的區(qū)別。對于企業(yè)IT系統(tǒng)而言,最大的威脅是數據被滲透、刪除、無法訪問,如被勒索或數據被公開。
隨著工業(yè)控制系統(tǒng)的發(fā)展,這種風險將轉移到物理層面。
倫敦帝國理工學院負責可信工業(yè)控制系統(tǒng)研究的教授Chris Hankin說:“我不認為這些威脅被夸大。”
從他引用的數據來看,情況非??膳?。據美國工業(yè)控制系統(tǒng)網絡應急響應小組(ICS-CERT)的統(tǒng)計數據顯示,過去五年來網絡攻擊事件數量不斷增加。2015年,共報道了295起事件,但與今天充斥于新聞報道的數據泄密事件相比,那都是微不足道的數據。
最早的案例可以追溯到2000年的澳大利亞。
黑客入侵了馬盧奇郡議會的污水管理系統(tǒng),并將數百萬升污水泄漏到河流、公園、酒店等公共環(huán)境中。
2015-2016年間,Charlie Miller和Chris Valasek利用車載娛樂系統(tǒng)遠程控制一輛在高速公路上正常行駛的切諾基吉普車,進行突然加速、剎車、轉向等操作。
華威大學的網絡安全中心和PETRAS物聯(lián)網研究中心的Carsten Maple教授也舉了一些例子。2014年,德國聯(lián)邦情報局透露,德國一家鋼廠的鋼鐵熔爐控制系統(tǒng)被黑客攻擊,導致熔爐過熱,無法正常關閉。這次攻擊造成數百萬英鎊的經濟損失。
2016年11月25日,美國舊金山市政交通系統(tǒng)遭遇黑客的勒索軟件攻擊。最終,交通系統(tǒng)工作人員沒有支付7.3萬美元的勒索贖金,而是關閉了地鐵車站的售票機和檢票口,允許乘客免費乘坐兩天,直到他們從備份中恢復了整個系統(tǒng)。
讓人吃驚的是,一些大型硬件制造商對于他們的產品防范是如此的松懈。
2016年,美國老牌木材與造紙公司佐治亞-太平洋(601099,股吧)公司的一名前員工利用虛擬私人網絡侵入到公司網絡,并導致其旗下一家紙巾廠損失110萬美元。
在2015-2016年年間,烏克蘭變電站受到網絡攻擊,導致數十萬烏克蘭家庭無電可用。我們不要忘記Stuxnet病毒(又稱作震網或超級工廠,世界上首個專門針對工業(yè)控制系統(tǒng)編寫的蠕蟲病毒),在2009年7月至2010年9月間,Stuxnet病毒攻擊了伊朗核設施中精煉鈾的離心機計算機控制系統(tǒng),直接破壞了伊朗國家核計劃。
然而,過往的攻擊可能會讓你瞠目結舌,面對即將來臨的風險,上述事件微不足道。
“如果你看ICS-CERT年度報告,就會發(fā)現,” Hankin教授說:“到2014年,大多數網絡攻擊事件主要集中在能源領域,2015年,盡管能源領域仍是重點受災領域,但規(guī)模最大的網絡攻擊是在關鍵制造業(yè)。”
三、從起步階段設計安全防范
總的來看,當前眾多的企業(yè)對工業(yè)物聯(lián)網的安全威脅疏于防范,或者只是在之前企業(yè)IT系統(tǒng)的基礎上進行簡單的、折中的升級。這勢必帶來“溫水煮青蛙”的后果。
Context Information Security的首席研究員Scott Lester表示:“根據我們的經驗,所有傳統(tǒng)制造商都在努力改善”。快速進入市場是一個關鍵問題,但他補充說:“令人驚訝的是,這些制造商對于他們的產品是如此的松懈,甚至沒有考慮現有的威脅。”。
Maple教授說,關鍵因素是需要意識到:在安全性方面,如果單獨考慮操作技術,那么對于工業(yè)控制系統(tǒng)和企業(yè)IT系統(tǒng)是沒有幫助的。在許多情況下,如切諾基吉普,它們可能會由于設計不當,未能通過沙盒測試,將駕駛系統(tǒng)與娛樂系統(tǒng)區(qū)分開來。在其他情況下,隨著時間的變化可能會打開無證連接。
Hankin教授表示:“在幾乎所有我們知道的案例中,似乎企業(yè)IT系統(tǒng)都進行某些折中性的改進,成為獲得工業(yè)控制系統(tǒng)的一種方式。”仔細分析網絡攻擊可以發(fā)現,當一個混合物理網絡系統(tǒng)被攻擊時,會發(fā)現一些不同。攻擊目標是截然不同的,但當載體被從網絡釣魚電子郵件開始的復雜的Stuxnet病毒感染時,再想將企業(yè)IT系統(tǒng)和工業(yè)控制系統(tǒng)分離開,已經毫無意義。
文章來源:微信公眾號資本實驗室