网络犯罪分子将注意力从消费者转移到了更大更肥的是鱼上——有钱、缺人、承受迅速恢复产能的巨大压力的制造业公司。然而,许多制造商都没有准备好与世界上最致命的恶意软件作斗争,即使遭受攻击,要么轻描淡写,要么讳莫如深。
尽管勒索软件通常会带来巨大的成本,浪费时间和资源,给公司的声誉和品牌带来巨大的风险,并且会影响整个行业的看法,但是,随着制造商向工业4.0过渡,面对网络威胁,他们比其他行业更准备不足。
比如,只有不到三分之二的制造商拥有网络安全计划,但计划位于部门响应计划最底层。越来越多的制造业企业也没有计划投资于改进网络安全措施或数据保护工作,尽管自动化和物联网设备在工业环境中的实施正给管理带来新的风险,也给黑客带来更多攻击机会。
长期以来,制造业一直是全球经济的基础部分,也是技术创新的领导者。在工业4.0为主导的世界中,制造商越来越多地采用机器人技术,人工智能,机器学习和高级分析。在考虑工业4.0的当前和未来观点时,人们的注意力需要逐渐转向「连接一切」的未来意味着什么。
在工业4.0的规划过程中,解决安全问题不是后续任务,而是第一要务。
撰文
吴昕
两年前,挪威首都奥斯陆的一个晴朗的夜晚,哈尔沃·莫兰(HalvorMolland)正在熟睡,电话在凌晨3点左右响了起来。莫兰是全球最大铝制造商之一挪威海德鲁(NorskHydro)负责通讯事务的高级副总裁。两小时前,公司电脑突然开始加密文件并集体离线,匈牙利分公司的一名工作人员意识到大事不妙。他按照预设的安保程序关闭整个公司网络,包括公司网站、电子邮件系统、工资单系统等,但为时已晚。海德鲁台服务器和2,台个人电脑已经无法正常运转,员工电脑的屏幕上闪现着勒索留言,示意受害者电子邮件联系解密工具价格。「我的感觉是:你真的不相信,」莫兰在最近的一次采访中回忆说。「当时决定将整个网络关闭,因为某种程度上已经没有什么可以隔离的了。」攻击始于海德鲁位于美国的工厂。在肯塔基州和德克萨斯州,公司都有铝重熔设施,但位于宾夕法尼亚州克雷索纳的最大铝厂损失最为严重。这座工厂是美国*府在二战期间为生产武器用铝而建造的。这家市值亿美元、全球拥有约家工厂的巨头供应中断可能会引发全球铝业恐慌,因为世界上只有少数公司能够提供符合戴姆勒和福特汽车公司要求的产品,他们的客户还包括特斯拉。海德鲁位于美国宾州的克雷索纳工厂。海德鲁并没有支付赎金。他们关闭了几条自动化生产线,并将挪威、卡塔尔和巴西等国家的工厂运营模式改为「手动」模式。由于目前大部分勒索病毒加密后的文件都无法解密,海德鲁面临的艰巨任务之一是人工找到具体订单,并完成他们。克雷索纳的临时作战室,利用传真、便签纸和旧电脑战胜了网络犯罪分子。生产在大约一个月内恢复了正常。由于部分工厂停产数周,此次勒索软件攻击使公司不得不雇用3.5万名员工、损失万至1.1亿美元,这个数字远远超过保险单赔付的万美元。这是挪威历史上最严重的网络攻击事件。讽刺的是,没人知道是谁攻击了海德鲁,虽然种种迹象指向了一个有组织的东欧网络犯罪集团,但他们仍逍遥法外。一暗流涌动不过,莫兰和他的团队做了一件非比寻常的事情:他们向公众详细讲述了发生的事情,并发布了采访视频。但这只是孤例。许多制造商都没有准备好与世界上最致命的恶意软件作斗争,即使遭受攻击,要么轻描淡写,要么讳莫如深。袭击海德鲁的勒索软件LockerGoga是年1月新出现的病毒。造成海德鲁关闭网络之后仅仅几天,它又被发现疑似入侵另外两家美国化学公司瀚森(HexionInc.)和迈图(MomentivePerformanceMaterialsInc.)。虽然迈图承认遭遇勒索攻击,公司不得不紧急更换数百台计算机,但瀚森公司没有披露任何袭击细节。几乎在同一时期,遭遇勒索软件袭击的比利时飞机零部件制造巨头ASCO已经停产一个多星期,而且还没有结束的迹象。在公司努力恢复被恶意软件攻击冻结的关键系统的同时,近名员工被送回家休带薪假。ASCO是世界上最重要的飞机零部件和零部件设计供应商之一。该公司的客户包括空客、波音、庞巴迪和洛克希德·马丁。与海德鲁不同,ASCO对此事件一直保持沉默。与海德鲁不同,ASCO对此事件一直保持沉默。制造商不断出现在勒索软件受害者清单中。德国自行车厂商Canyon内部文件遭勒索加密,订单下达与交付被迫延迟;美国核武器承包商遭Maze勒索软件攻击,敏感数据被泄露;特斯拉、波音、SpaceX供应商VisserPrecision拒付赎金,遭机密泄露。最轰动的当属本田集团遭受SNAKE勒索团伙攻击,导致日本总部以外多国工厂生产停顿。与官方声明轻描淡写不同,外媒报道下的情况可谓惨烈:「勒索软件已经传播到本田的整个网络,影响了本田的计算机服务器、电子邮件以及其他内网功能,目前本田正在努力将影响降到最低,并恢复生产、销售和开发活动的全部功能。」IBM年发布的威胁情报称,第一季度,勒索软件攻击在所有行业增长了25%,但针对制造业的攻击增加了%,是风险最高的行业。全球网络安全软件公司趋势科技(TrendMicroIncorporated)数据显示,年第三季度有家制造企业牵涉勒索软件,多于任何其他行业。咨询公司KivuConsulting年的一份报告数据显示,尽管在年支付的赎金事件中,制造业占18%。但赎金数额非常可观,年支付了万美元的勒索软件付款,占总赎金额的62%,高于其他任何行业。年3月,制造商霍尼韦尔(Honeywell)成为最新一家在网络攻击中受害的制造巨头。这一事件也再次提醒世人制造业所面临的威胁。霍尼韦尔发言人斯科特·塞雷斯(ScottSayres)在3月25日的一封电子邮件中表示,「恶意软件入侵」对「我们的生产造成的影响微乎其微」。他拒绝详细说明,也拒绝回答有关是否涉及勒索软件的问题。据两名不愿透露姓名的霍尼韦尔员工透露,尽管霍尼韦尔在3月23日发表声明称公司已「恢复服务」,但数天后公司仍存在挥之不去的IT困难。这些技术问题已经逐渐得到解决,包括连接到该公司的虚拟专用网络和内部数据共享驱动器的困难。今年3月,趋势科技委托独立研究专家VansonBourne对美国,德国和日本的名IT和OT专业人员进行的调查结果显示,61%的制造商在其智能工厂经历过网络安全事件,75%的制造商因此遭受系统中断,其中43%持续了4天以上。外媒CyberScoop曾要求采访十几家欧洲和美国的制造商,据报道,这些制造商在过去两年半的时间里因勒索软件事件而中断了生产。几乎所有公司要么拒绝置评,要么没有回应,要么表示截止发稿时无法联系到一位高管。故事还在继续,每天都有新的受害者。著名工业网络安全公司Dragos预测明年制造业面临的威胁将继续增加。二为何青睐制造业?制造业已经成为勒索软件匪帮的热门目标。一个很重要的原因是成本与收益的巨大反差,毕竟也是一门生意。勒索软件作为一种勒索手段之所以能持续成功,部分原因在于它使用起来很容易。犯罪分子可以在暗网上购买和租赁各种勒索软件产品,然后通过钓鱼邮件和其他手段迅速、廉价地开始传播这些产品。这些勒索软件即服务的功能包括24/7在线聊天,帮助获取比特币支付赎金,访问支付服务,以及帮助犯罪经销商监控其运营进度和利润的控制台。低成本的另一边是收益非常可观。针对制造业的大多数攻击都是出于经济动机,包括钱和知识产权。生产商最忌讳生产线停工,面对业务中断、生产损失、难以交付产品和开票的困境,企业往往需要耗费大量资金才能重回正轨。高昂成本迫使企业迅速支付赎金以恢复业务。但这还不包括难以计算的隐形损失。莫兰说,他并不后悔公开详细说明勒索软件给海德鲁他的公司带来多大的痛苦,因为,「它太大了,我们无论如何也掩盖不了。」年12月,McAfee最新调查报告TheHiddenCostsofCybercrime指出,对于大多数组织来说,勒索攻击事件发生后,平均需要安排8个人、耗时19小时对IT系统或服务进行恢复补救。这不仅增加了被攻击方的风险处理成本,还或因外部援助和风险保险等方面需求的激增,衍生出新的成本增长点。比如,所谓新蓝领问题。瑞士制造商迈耶·托布勒(MeierTobler)遭到勒索软件攻击,导致该公司直接成本超过万美元,生产损失超过万美元。对于一些员工(尤其是物流部门),只能安排带薪休假;ASCO停产期间,近名员工被送回家休带薪假;海德鲁甚至新雇佣了大量劳动力。长远来看,业务中断也通常会不同程度影响客户体验,波及企业及机构的品牌信任度和声誉。一次数据泄露可能会使制造商损失数年的专有信息价值,并导致客户信任度的永久丧失。这也是为什么绝大多数制造业「肉票」会对恶意软件入侵守口如瓶。他们担心失去客户,或者承认自己为了恢复数据而付钱给了犯罪分子。年6月,美国国际数据管理公司VeritasTechnologies最新调查研究显示,44%的消费者表示会停止从遭受过勒索软件攻击的公司购买商品。另外,一些制造业公司活动延伸到多个垂直行业,这也使得它们成为对手攻击电力公用事业或制药等行业的跳板;作为全球供应链的一部分,制造商也日益受到来自地缘*治冲突性质的网络风险挑战。可以预期,网络犯罪分子将继续使用勒索软件攻击包括制造业,在这些部门中,停机会给利润,股票价格,人命或*治声誉带来高昂成本。注意力从消费者转移到了更大更肥的鱼上:手头有钱,而且承受着迅速恢复的巨大压力的公司。三「肉票」为何破绽百出?吊诡的是,「在网络安全方面,制造商很马虎。」人工智能平台C3.aiCEOThomasSiebel曾直言不讳地说。随着制造商向工业4.0过渡,面对网络威胁,他们比其他行业更准备不足。《华尔街日报》去年的一篇报告中指出,只有不到三分之二的制造商有网络安全项目,排名垫底。此外,更大比例的制造业企业表示,它们不计划在未来12个月的任何时候在重要领域实施改进。例如,63%的制造商目前没有网络保险,37%的制造商在未来12个月内没有购买网络保险的计划。网络安全培训也不在制造商来年的计划之内:22%的公司不打算实施员工培训,26%的公司表示不会进行高管培训。还有15%的人没有计划在明年识别出值得保护的关键数据。《华尔街日报》网络安全在线研究中心在年12月至年3月期间对家企业的受访者进行了调查。调查结果显示制造业的安全防范得分基本垫底。事实上,现代化大型制造工厂也非常困难。许多设施使用的遗留设备或工业物联网(IoT)设备,在最初设计时考虑了效率和合规问题,没有考虑网络安全和数据隐私风险。生产线和工业流程通常运行在操作系统或工业控制系统上,由于软件的年代久远,这些系统不再接受安全更新。比如,许多食品工厂中,用于运行机器的硬件和软件多半是在年代和0年代开发和实施的,尤其是食品加工和制造中常用的较旧的工业控制系统(ICS),这些旧系统的问题在于它们与当前的网络安全最佳实践不兼容,从而使其极易受到攻击。如果制造商不让设备离线以更新安全,那么就有可能被勒索软件攻击,导致产线瘫痪,但系统脱机维护可能会导致高昂成本或者对操作造成破坏。而且,由于制造商每种设施在IT基础架构,使用的系统和要保护的数据方面都是不同的,很复杂。也没有统一方法可以在一夜之间确保每个制造工厂的安全。从认知层面来看,目前许多制造业管理层对网络安全的认识不足,不愿意将资源用于升级旧系统。当然,除了问题本身的负责和技术化,对人才的需求大于供给,也导致解决方案的昂贵。据估计,到年,全球安全专业人员缺口将高达万人。由于工业企业通常支付的薪水要低得多,因此,高端人才不太可能去OT公司寻求职业发展。尤其值得注意的是,从企业规模来看,尽管媒体报道主要
