敲響工業(yè)機器人網(wǎng)絡(luò)安全警鐘
伴隨著工業(yè)機器人的廣泛應(yīng)用,其網(wǎng)絡(luò)安全問題日益突出。近日,工信部賽迪研究院研究指出,工業(yè)機器人的網(wǎng)絡(luò)安全防護能力異常脆弱,存在通信不安全、欠缺身份認證等問題。而我國對此還缺乏足夠重視,必須提高警惕,并采取積極的應(yīng)對措施。
目前,我國工業(yè)機器人已被廣泛應(yīng)用于汽車、橡膠、塑料、鑄造、食品、化工等傳統(tǒng)行業(yè),以及電子通信、新材料、生物醫(yī)藥等高新技術(shù)領(lǐng)域。到今年底,我國工業(yè)機器人保有量預計超過40萬臺,約占全球總量的四分之一,居全球首位。
工信部賽迪研究院研究員劉金芳表示,工業(yè)機器人的廣泛應(yīng)用對我國實現(xiàn)制造強國目標意義重大。但是,工業(yè)機器人網(wǎng)絡(luò)安全問題尚未完全引起我國相關(guān)部門、供應(yīng)商、制造業(yè)企業(yè)等方面的足夠重視,一旦發(fā)生重要數(shù)據(jù)泄露、生產(chǎn)線整體癱瘓、機器人攻擊工人等網(wǎng)絡(luò)安全事件,勢必對我國制造業(yè)發(fā)展造成嚴重的沖擊。
“研究發(fā)現(xiàn),包括發(fā)那科、安川等在內(nèi)的世界頂級品牌工業(yè)機器人都存在巨大的網(wǎng)絡(luò)安全隱患?!眲⒔鸱挤治?,工業(yè)機器人的網(wǎng)絡(luò)安全問題主要集中在三個方面。
首先,通信安全隱患突出。通信系統(tǒng)是工業(yè)機器人的重要組成部分,有助于實現(xiàn)用戶和工業(yè)機器人之間的無縫交互。在網(wǎng)絡(luò)層面,工業(yè)機器人通信大多使用互聯(lián)網(wǎng)、Wi-Fi、藍牙等公開通信信道,沒有使用加密信道,通信信息很容易被監(jiān)聽、篡改;在數(shù)據(jù)層面,大部分工業(yè)機器人通信過程缺少數(shù)據(jù)加密機制,當重要敏感信息往返于工業(yè)機器人與移動應(yīng)用、互聯(lián)網(wǎng)服務(wù)、計算機軟件之間時,由于沒有進行加密或者使用了弱密碼,極易發(fā)生信息泄露。
意大利米蘭理工大學和趨勢科技聯(lián)合發(fā)布的最新研究報告顯示,目前全球至少有8.3 萬臺工業(yè)機器人通過互聯(lián)網(wǎng)暴露給遠程攻擊者;網(wǎng)絡(luò)安全咨詢公司IOActive利用Shodan和ZoomEye等工具掃描互聯(lián)網(wǎng)時,發(fā)現(xiàn)美國、丹麥、瑞典、德國和日本等多國使用的工業(yè)機器人存在嚴重的通信安全隱患。
其次,大量工業(yè)機器人欠缺嚴格的身份認證機制和授權(quán)管理,致使一些關(guān)鍵功能暴露在互聯(lián)網(wǎng)上。一是大部分工業(yè)機器人未使用身份認證進行保護,致使未經(jīng)身份認證的攻擊者能通過計算機軟件、移動應(yīng)用、互聯(lián)網(wǎng)服務(wù)等遠程使用工業(yè)機器人的某些關(guān)鍵功能;二是大多數(shù)工業(yè)機器人沒有通過授權(quán)管理保護自身功能,導致攻擊者能在未經(jīng)授權(quán)的情況下在工業(yè)機器人中安裝軟件,進而獲得對工業(yè)機器人的完全控制。
劉金芳引用趨勢科技的研究數(shù)據(jù)稱,暴露在互聯(lián)網(wǎng)上的8.3 萬臺工業(yè)機器人中有5100 臺工業(yè)機器人未使用身份認證保護。
再者,使用開源軟件、默認設(shè)置和軟件更新不及時。很多供應(yīng)商研發(fā)生產(chǎn)工業(yè)機器人時使用開源的軟件、硬件、模擬器,但是開源項目存在很多安全問題,如常用的工業(yè)機器人操作系統(tǒng)ROS 已被證實存在明文通信、弱授權(quán)方案等安全問題,導致使用ROS的工業(yè)機器人也存在此類風險。
劉金芳表示,工業(yè)機器人出廠時多使用默認配置,制造業(yè)企業(yè)用戶使用時未進行修改,加劇了工業(yè)機器人網(wǎng)絡(luò)安全風險。由于更新工業(yè)機器人軟件會對制造業(yè)企業(yè)用戶產(chǎn)生一定影響,因此很多企業(yè)忽視軟件更新,致使攻擊者可利用已知安全漏洞攻擊工業(yè)機器人,網(wǎng)絡(luò)安全風險難以控制。
根據(jù)上述問題,劉金芳提出了三點建議:一是建議全國信息安全標準化技術(shù)委員會在監(jiān)管機構(gòu)的指導下,聯(lián)合工業(yè)機器人供應(yīng)商、安全服務(wù)商、用戶等加快制定工業(yè)機器人網(wǎng)絡(luò)安全國家標準。
國家標準制定應(yīng)貫穿設(shè)計、生產(chǎn)、系統(tǒng)集成等多個環(huán)節(jié)的網(wǎng)絡(luò)安全風險,例如,在使用開源框架和庫時考慮其安全性;對軟件安全開發(fā)生命周期進行管理;正確使用加密通信和軟件更新;確保只有經(jīng)過認證和授權(quán)的用戶能夠訪問工業(yè)機器人服務(wù)和功能;指導用戶進行安全配置等。
二是盡快開展工業(yè)機器人網(wǎng)絡(luò)安全風險評估。建議工業(yè)機器人供應(yīng)商依據(jù)已出臺的網(wǎng)絡(luò)安全政策、技術(shù)與管理標準,對上市前的新產(chǎn)品進行網(wǎng)絡(luò)安全自評估或第三方評估,識別工業(yè)機器人安全威脅和脆弱性,確認已有安全措施,并評估一旦發(fā)生安全事件可能造成的危害。同時,建議國家主管部門針對涉及國家安全和存在重大安全風險的工業(yè)機器人,加強監(jiān)督檢查,提高防范意識,加大整改力度,強化風險控制,最大限度地保障工業(yè)機器人安全使用。
三是建立工業(yè)機器人網(wǎng)絡(luò)安全預警平臺。具體包括:建立國家工業(yè)機器人信息安全漏洞庫,并在國家信息安全漏洞共享平臺上及時披露工業(yè)機器人漏洞信息、發(fā)布補丁,建立工業(yè)機器人生產(chǎn)商、供應(yīng)商和用戶之間的溝通機制,通報工業(yè)機器人網(wǎng)絡(luò)安全問題,督促用戶及時更新軟件;實時收集、匯總分析工業(yè)機器人網(wǎng)絡(luò)安全事件信息,應(yīng)用大數(shù)據(jù)對工業(yè)機器人生產(chǎn)故障、用戶及設(shè)備的行為進行持續(xù)監(jiān)測和分析,及時發(fā)現(xiàn)異常環(huán)節(jié),并通過聲音提示、圖標閃爍等方式向工業(yè)機器人用戶報警,協(xié)助供應(yīng)商和用戶采取安全措施。(夏小禾)