新的黑暗地帶：工業物聯網的網絡犯罪風險

資本實驗室·今日創新觀察

聚焦前沿科技創新與傳統產業升級

作者：冉偉

作爲工業4.0的核心組成部分，工業物聯網包含了雲計算、大數據、網絡物理系統（CPS）、機器人、增強現實和物聯網等技術和交付模型。

通過工業物聯網的應用，無論是製造、發電、油氣、污水處理，還是農業、採礦、物流，各種重資產行業都將比以往任何時候要更可預測、更聰明、更高效。

然而，和整個互聯網從誕生到發展所經歷的故事一樣，以黑客攻擊爲代表的網絡犯罪對工業物聯網領域也絕不會“高擡貴手”。相反，他們的攻擊會更大膽而凌厲，造成的破壞也將直接延伸到各種基礎設施的物理層面，並對大量居民的正常生活乃至國家安全造成嚴重影響。

我們在工業4.0時代開疆拓土的同時，工業物聯網的網絡犯罪風險就像一個新的黑暗地帶，需要從源頭到應用層面進行全面防範，照進光明。

一、工業物聯網：蓬勃生長的新領域

據麥肯錫預測，2025年，物聯網的經濟影響價值將達到每年3.9萬億美元至11.1萬億美元。這些價值來自於工廠、城市、家庭、零售、汽車等9個主要應用場景。其中，工廠的經濟影響價值最大，每年最高可達到3.7萬億美元。由此可見，工業物理網將成爲整個物聯網最大的應用領域，也將帶來全新的商業機會。

伴隨着工業聯網在未來的廣泛應用預期，該領域風險投資在近幾年實現了非常強勁的增長。

根據CB Insights數據，2012-2016年，全球工業物聯網風險投資數量超過1000起，披露投資額超過67億美元；投資數量與投資額已經實現四個年度的連續增長，複合增長率分別達到30%和34%。

在此背景下，大量的傳統重資產企業正在依託工業物聯網技術開發與應用，以及對外投資與併購，爲未來競爭築牢門檻；而衆多的創業公司則從上下游對整個產業鏈帶來撼動。

有理由相信，在未來，工業物聯網投資勢必保持穩定增長的態勢。因爲，從工業4.0的基礎構架，到各行業可拓展的深層應用，工業物聯網將不可或缺。與此同時，工業物聯網也將成爲我國製造業升級，以及與國際巨頭進行競爭的重要戰場。

二、安全威脅：工業物聯網的大敵

在幾年前，我們對黑客攻擊的概念可能還停留在企業IT系統層面。而現在，我們將看到，工業物聯網同樣無時無刻不處在黑客與網絡犯罪分子的覬覦之中。

實際上，工業物聯網的安全保護與企業IT系統保護有本質的區別。對於企業IT系統而言，最大的威脅是數據被滲透、刪除、無法訪問，如被勒索或數據被公開。隨着工業控制系統的發展，這種風險將轉移到物理層面。

倫敦帝國理工學院負責可信工業控制系統研究的教授Chris Hankin說：“我不認爲這些威脅被誇大。”

從他引用的數據來看，情況非常可怕。據美國工業控制系統網絡應急響應小組（ICS-CERT）的統計數據顯示，過去五年來網絡攻擊事件數量不斷增加。2015年，共報道了295起事件，但與今天充斥於新聞報道的數據泄密事件相比，那都是微不足道的數據。

最早的案例可以追溯到2000年的澳大利亞。黑客入侵了馬盧奇郡議會的污水管理系統，並將數百萬升污水泄漏到河流、公園、酒店等公共環境中。

2015-2016年間，Charlie Miller和Chris Valasek利用車載娛樂系統遠程控制一輛在高速公路上正常行駛的切諾基吉普車，進行突然加速、剎車、轉向等操作。

華威大學的網絡安全中心和PETRAS物聯網研究中心的Carsten Maple教授也舉了一些例子。2014年，德國聯邦情報局透露，德國一家鋼廠的鋼鐵熔爐控制系統被黑客攻擊，導致熔爐過熱，無法正常關閉。這次攻擊造成數百萬英鎊的經濟損失。

2016年11月25日，美國舊金山市政交通系統遭遇黑客的勒索軟件攻擊。最終，交通系統工作人員沒有支付7.3萬美元的勒索贖金，而是關閉了地鐵車站的售票機和檢票口，允許乘客免費乘坐兩天，直到他們從備份中恢復了整個系統。

讓人吃驚的是，一些大型硬件製造商對於他們的產品防範是如此的鬆懈。

2016年，美國老牌木材與造紙公司佐治亞-太平洋公司的一名前員工利用虛擬私人網絡侵入到公司網絡，並導致其旗下一家紙巾廠損失110萬美元。

在2015-2016年年間，烏克蘭變電站受到網絡攻擊，導致數十萬烏克蘭家庭無電可用。我們不要忘記Stuxnet病毒（又稱作震網或超級工廠，世界上首個專門針對工業控制系統編寫的蠕蟲病毒），在2009年7月至2010年9月間, Stuxnet病毒攻擊了伊朗核設施中精煉鈾的離心機計算機控制系統，直接破壞了伊朗國家核計劃。

然而，過往的攻擊可能會讓你瞠目結舌，面對即將來臨的風險，上述事件微不足道。

“如果你看ICS-CERT年度報告，就會發現，” Hankin教授說：“到2014年，大多數網絡攻擊事件主要集中在能源領域，2015年，儘管能源領域仍是重點受災領域，但規模最大的網絡攻擊是在關鍵製造業。”

三、從起步階段設計安全防範

總的來看，當前衆多的企業對工業物聯網的安全威脅疏於防範，或者只是在之前企業IT系統的基礎上進行簡單的、折中的升級。這勢必帶來“溫水煮青蛙”的後果。

Context Information Security的首席研究員Scott Lester表示：“根據我們的經驗，所有傳統製造商都在努力改善”。快速進入市場是一個關鍵問題，但他補充說：“令人驚訝的是，這些製造商對於他們的產品是如此的鬆懈，甚至沒有考慮現有的威脅。”。

Maple教授說，關鍵因素是需要意識到：在安全性方面，如果單獨考慮操作技術，那麼對於工業控制系統和企業IT系統是沒有幫助的。在許多情況下，如切諾基吉普，它們可能會由於設計不當，未能通過沙盒測試，將駕駛系統與娛樂系統區分開來。在其他情況下，隨着時間的變化可能會打開無證連接。

Hankin教授表示：“在幾乎所有我們知道的案例中，似乎企業IT系統都進行某些折中性的改進，成爲獲得工業控制系統的一種方式。”仔細分析網絡攻擊可以發現，當一個混合物理網絡系統被攻擊時，會發現一些不同。攻擊目標是截然不同的，但當載體被從網絡釣魚電子郵件開始的複雜的Stuxnet病毒感染時，再想將企業IT系統和工業控制系統分離開，已經毫無意義。