那天,機台網路孔被拔掉,產線停了五分鐘
還記得三年前吧,某天我正準備下班,手機突然響了。產線那頭,小陳焦急地說:「Tim 哥,慘了!PVD 機台突然讀不到配方,整個卡住!」我趕緊衝回現場,發現問題出奇妙:機台網路線,好好的一條,竟然被拔掉了!結果就是整個 batch 報廢,損失粗估就百萬起跳。後來才查出來,是外包廠商來換風扇,不小心踢到。你看,一個簡單的物理拔線,就能讓產線停擺。這還只是「意外」,要是「惡意」攻擊呢?
問題出在哪?你的「傻瓜機」可沒那麼傻
說穿了,現在的製造設備,早就不再是單純的機械手臂在那邊舞來舞去。每一台機台,從 CVD、PVD 到蝕刻機,裡面都藏著一套「工業控制系統」(ICS)。這些 ICS 就像設備的大腦,控制著溫度、壓力、流量,所有製程參數都靠它。以前我們覺得這些設備是獨立的,網路不通頂多是傳輸資料慢一點。但現在,機台間的連動、MES 系統的指令、甚至遠端監控,都得靠網路。
所以重點來了,這些 ICS 系統,很多都是用老舊的 Windows XP 或甚至更古老的作業系統。你想想,你家電腦用 XP 還敢上網嗎?這些設備卻還在用。漏洞一大堆,而且不像你手機 APP 一直更新,廠商根本不會為舊機型頻繁打補丁。換句話說,這些機台的網路安全防護,可能比你十年前的 Nokia 3310 還脆弱。
實際上怎麼做?請從「網路切斷」開始
坦白講,要換掉所有老舊設備不可能,那荷包會哭。所以,我們從「網路切斷」開始。
- 物理隔離或邏輯分段:把你的設備網路,跟辦公室網路、外部網路徹底分開。我們那邊後來就把 ICS 網路獨立出來,連網段都區分開,例如辦公室用 192.168.1.X,機台用 10.0.0.X。這樣就算有人從辦公室網路入侵,也沒辦法直接跳到機台。
- 防火牆設定:在 ICS 網路的邊界,設置嚴格的防火牆。只允許必要的通訊協定和 IP 位址通過。例如,MES 系統需要讀取機台資料,那就只開放那個 IP 和那個 port。其他一律擋掉。
- 弱點掃描與修補:這點比較硬,但很重要。定期對設備的 ICS 系統進行弱點掃描。我們發現過很多機台,預設密碼根本沒改,或是開放了不必要的服務。發現後,就要跟設備商協調修補。別小看這些,一個預設密碼,就可能讓整個廠區陷入危機。
最常見的坑:便宜行事,以為「內網很安全」
我們以前最常犯的錯,就是覺得「內網很安全」。反正又沒連外網,誰會來攻擊?結果有一次,一個新來的設備商工程師,為了方便,直接拿自己的筆電連到機台的服務埠。他筆電裡剛好有個不知名的木馬,就這樣悄悄地傳染給了機台。雖然沒造成巨大損失,但光是排查問題,就花了我們兩個禮拜。你知道,那兩個禮拜,CPK 報告出來,全場沉默了三秒。
所以說,任何連到 ICS 網路的設備,包括外包廠商的筆電,都要經過嚴格的資安檢查。必要時,提供他們專用的、受管制的筆電或跳板機。別讓一時的方便,變成永久的遺憾。
今天能做的一件事
檢查你家最老舊機台的網路設定,看看是不是還用預設密碼。