本文探討機器人控制系統的安全風險以及有效的安全措施,文中除了探討產業安全標準,並分析了遵循這些標準的關鍵要求。
工廠自動化是工業4.0的核心,包括工業機器人、自主式行動機器人(AMR)、以及協作式機器人等皆扮演關鍵角色,並共同促成業界實踐現代的工業4.0。如今的機器人變得越來越聰明,並具備更高的協作能力,不論在有人與無人操作的情況下都能執行各種複雜任務。更高層級的自動化以及更廣泛地運用機器人,亦促成對機器人控制系統面臨著更高的物理維安,以及資安抗駭的要求。
從機器人最初大多應用於工廠環境,發展至今已廣泛用在諸多不同領域,包括醫療、軍事、物流、以及農業等。對於物理維安與資安抗駭的需求而言,此方面的重要性遠甚過於10年前。相關的應用場域中,各種意外都可能發生,其中,由惡意攻擊引發的事件尤其關鍵,惡意劫持與控制機器人都可能造成嚴重的經濟與財務損失。
機器人控制系統的安全風險
圖一顯示典型的安全風險,可能引發對機器人控制系統的惡意攻擊。
表一所列舉的是與安全風險相關的疑慮及概述:
表一:安全風險的疑慮
|
缺乏
|
衝擊與描述
|
|
安全聯網
|
導致機器人控制系統之間的通訊變得不安全,且容易被偽冒、竄改、以及竊聽。同時也可能衝擊到系統的可用性
|
|
正確的驗證
|
- 導致惡意人士運用預設的使用者名稱與密碼進行未經授權的存取
- 缺少設備與週邊的驗證,可能導致惡意人士使用偽冒的機器人系統週邊/配件,形成維安與資安方面的風險
- 亦會導致系統接受從不受信任的未辨識來源輸入的資料
|
|
機密性
|
缺少加密或弱防禦力的加密演算法,導致機器人機敏資料與設計計畫被攔截與外洩
|
|
完整性
|
導致儲存或傳輸中的機器人機敏資料、組態設定、以及韌體遭到竄改
|
|
安全開機與更新
|
- 若沒有這項功能,我們就無法確定目前運行在我們的機器人控制系統中的是否是真正的韌體/軟體
- 缺乏安全升級,可能導致惡意人士駭入機器人控制系統,將軟體回退到存在漏洞的舊版軟體,或將未經授權的軟體寫入機器人控制系統。
|
|
防竄改硬體
|
某些機器人儲存著高度機敏的資訊(像是軍事/國防領域所採用的機器人)。因此此類資訊需要被高度保護,以防被非授權人士存取。若沒有防竄改硬體,就非常難以保護資訊免於遭受侵入攻擊
|
|
安全設計原則
|
大多數控制系統的發展,直到最近都沒有採取安全設計原則。這導致了有心人士侵入進機器人系統的架構與設計,進而掃描與濫用其漏洞以便發動攻擊
|
|
更新
|
機器人作業系統、韌體、以及軟體若是缺乏更新,可能導致各種網路物理攻擊
|
工業與機器人領域的規範與法律 促進資安韌性與保護運作
資安領域的面貌快速演變,越來越多的規範與法律也瞄準工業與機器人領域。其中一些針對資安抗駭的法律,包括《歐盟網路安全法》、《歐盟網路韌性法》以及《美國關鍵基礎設施資安事件通報法》。另外中國與印度也逐步制定相關的規範與法律。 美國國家標準與技術研究院(National Institute of Standards and Technology;NIST)的操作技術(OT)安全指南 ,以及如IEC 62443 此類標準提供方向,讓我們能採取安全設計(secure-by-design)的原則與設計,協助開發的控制系統能具備充分的韌性,得以抵禦各種網路攻擊。
IEC 62443制定 IACS 安全性規範
IEC 62443針對工業自動化與控制系統安全(Industrial Automation and Control Systems Security;IACS)制定了安全性規範。此為一項各界廣泛採納的標準,用以開發工業自動化控制系統,大多數的法律和規範也都建議遵循這項標準,並認可其在保障安全方面的重要性,讓我們能夠遵循相關規範、紓解控制系統中的潛在資安風險、補救控制系統中的安全缺口、保護關鍵資產、以及提供其他更多的益處。
雖然IEC標準中有一些部分是專注規範過程與程序,不過IEC 62443-4-1和IEC 62443-4-2則是專門針對組件安全而制定。根據IEC 62443-4-2的規範,零組件的種類包含了軟體程式、主機裝置、嵌入式裝置、以及網路裝置。這些標準根據每種零組件必須達到的零組件要求(CR)和增強要求(RE)來為每種零組件類型規範功能安全等級(SL)。其定義了從SL0到SL3的安全等級(SL)。其中SL2與SL3特別要求硬體層面的安全防護。
開發機器人安全系統不可或缺的功能與技術
要建構安全的機器人控制系統,我們需要解決機器人控制系統安全的各項風險。此方面需要的關鍵功能與技術包括:
u 安全驗證:匯整各項安全驗證機制,檢驗裝置/零組件的身份
u 安全協同處理器:運用專屬硬體執行安全儲存與加密作業
u 安全通訊:建置加密協定,保護資料交換的程序
u 存取控制:實施細分的權限,用以限制未經授權的系統存取動作
u 實體安全措施:整合各項措施,藉以防止物理竄改
全套輸出式安全IC,像是安全驗證晶片與協同處理器,為了因應這些需求量身打造的方案,能簡化建置流程與節省成本。這些固定功能IC背後有完備的軟體堆疊作為輔助,這些軟體是針對主機處理器所設計。
運用分立式安全元件可以提高系統韌性,防止已被入侵的應用處理器去存取儲存在獨立IC(隔離)內的權證。
除了這些方面之外,系統開發者必須採取結構化的方法來保護開發程序,包括收集各項需求、建立與分析威脅模型、安全設計、實施、測試、認證、以及維護等方面。依循安全開發生命週期(SDL)可確保從一開始安全即融入到開發程序之中。
ADI不僅是供應晶片等整套輸出式安全IC的廠商,藉由整合安全與機器人方面的專業技術,已蛻變成一個理想的解決方案供應商,能夠克服在維護機器人系統方面衍生的各種獨特挑戰。讓客戶能夠建構出全方位的解決方案,兼顧硬體、軟體、以及系統層級的設計考量。
ADI認識到機器人系統的安全需要全面覆蓋的設計,因此決定跳脫出零組件層級的方案,採取系統層級的視野角度。我們衡量了各種因素,包括硬體、軟體、通訊、以及整合,確保所有關鍵零組件都無縫地整合。
ADI與汽車產業的合作,展現在無線電池管理系統(wBMS)的成果上,並反映在建構強韌安全措施上的諸多卓越能力。ADI藉由與客戶緊密合作,成功開發出一套完全維安與抗駭的ISO 21434認證wBMS系統。鼓勵機器人產業進行類似的合作,就能促成客戶運用ADI在安全實作方面的專業。藉由和相關產業夥伴的緊密結盟,ADI得以持續發展兼顧物理維安與數據資安的機器人系統,引進從汽車產業所累積的經驗與成功戰績。
機器人關節控制器的使用情境範例
圖三顯示在機器人關節中,機器人關節控制系統的系統設計。
| 圖三 : MAXQ1065在機器人聯合控制系統中的潛在應用 |
|
在這項設計中,MAXQ1065的潛在應用變得顯而易見,因為它能促成安全開機功能,進而提升系統的整體安全。此外,MAXQ1065本身還具備諸多額外功能,例如安全密鑰儲存、安全通訊協定、以及譯密作業等。後續的專文將深入探討這些應用情境,以及探討其實際應用。
總結
在維護未來機器人的安全方面,資安扮演十分重要的角色。包括安全驗證、加密通訊、供應鏈防駭等強韌措施,皆是防範各種威脅極為關鍵的環結。藉由優先維護資安以及運用ADI的專業,不僅能夠充分發揮機器人的潛能,還能夠防範在互連世界中各種新浮現的風險。
(本文作者Manoj Rajashekaraiah為ADI首席工程師)
相關作者
相關產業類別
相關關鍵字
相關組織
相關網站單元