安全的工业物联网机器人需要网络安全

对于一个安全的机器人来说，它也必须是安全的。信息物理系统正在兴起。工业4.0和智能互联工厂的愿景继续推动机器人热潮。

精明的制造商正在使用联网机器人和它们产生的有洞察力的数据来简化机器人维护，最大限度地提高生产效率，并提高产品质量。随着越来越多的机器人相互连接，企业和云，网络安全风险也在增加。

这些威胁不仅仅是数据泄露和生产延误。针对高度灵活、功能强大的机器人系统的网络攻击带来了严重的安全隐患。随着人机协作和移动机器人的日益普及，这些担忧日益加剧。人工智能机器人正获得更多自主权。当今机器人的真正力量在于可能容易受到网络攻击的软件。

随着信息技术(IT)和运营技术(OT)的融合，网络安全不再是“别人的问题”。在工业物联网(IIoT)时代，网络安全是每个人的责任。威胁可以一直渗透到车间。网络安全需要每个人的警惕。

TÜV Rheinland负责全球OT和工业网络安全的首席技术官(CTO) Nigel Stanley表示:“网络安全最近才进入运营技术和机器人领域。“这一直被视为一个信息技术问题。在过去5年里，黑客入侵运营技术系统的次数大幅增加。”

TÜV莱茵是独立测试、检验和认证服务的领导者。斯坦利感兴趣的领域是安全的操作技术方面，包括自动驾驶汽车、铁路系统、智能制造、机器人、发电站，以及他所说的介于两者之间的一切。

网络安全影响着各种规模的制造商，从大型跨国公司到中小型企业(sme)。

斯坦利说:“如果你以典型的供应链为例，你可能有一个相当安全的设施，但供应链是不安全的。”“如果黑客要对一家工厂发起攻击，那么供应链和提供机器人等设备的小型制造商将更容易成为攻击目标。这是大大小小的制造商都需要考虑的问题。”

机器人制造商、集成商、运营商共同承担责任

说到网络安全责任，责任在于很多层面。在机器人领域，基本上有三个团队共同承担责任。首先是设备制造商。他们是机器人、机器人控制器和辅助设备(如赋予机器人视力的机器视觉传感器)的设计者和制造商。

斯坦利说:“制造商有责任确保他们的产品尽可能安全。”“当他们设计产品时，他们需要确保在整个设计过程中实施安全措施，并编写尽可能安全的固件。然后是实现者或系统集成商。他们采用制造商的产品，并在其上应用上下文，而这种上下文会影响网络安全。最后是操作人员，实际运行生产工厂的人。他们的工作是确保工厂在设备和系统的生命周期内保持安全，以确保尽可能快地减轻任何网络风险。”

当你想到网络攻击时，脑海中可能会浮现出机械臂疯狂挥舞，或移动机器人在工厂里横冲直撞的景象。实际上，更有可能出现的情况要阴险得多。事实上，它可以是完全隐秘的。以Stuxnet为例，它可能是世界上第一起网络物理攻击。

可重复性是机器人最大的优势，但如果控制权落入坏人之手，它就会成为一种不利因素。恶意攻击改变机器人轴的旋转几度可能会超出零件公差，危及质量并影响下游工艺。

机器人的固件和软件也会受到攻击，操作系统中未修补的漏洞也会被利用来控制个人电脑。

“最终，没有一个系统是完全安全的，”斯坦利说。“这是一个艰巨的挑战。隐形攻击可能具有非常大的破坏性，因为一家公司可能在意识到有问题之前就生产了大量的部件。”

威胁可能来自许多来源，无论是无意的还是有意的，甚至来自内部。

机器人的深度防御优势

工业物联网架构是多层、多维的。通常攻击者会找到最薄弱的环节。

“纵深防御”概念是网络安全最佳实践的标志。在这种策略中，存在多个安全层，因此如果一个层发生故障，后续层可以提供必要的安全防御。

“如果你有这些多层，那么你仍然有合理的机会保护你的系统，”CFSE、CISA、exida网络安全认证主任迈克·梅多夫(Mike Medoff)说。“也许攻击者可以破坏一层或两层，但他们必须通过的步骤越多，他们就越难破坏系统。如果你让游戏变得足够困难，他们最终会放弃。”

至少，纵深防御策略将延迟攻击者，并为检测和响应措施留出时间。

梅多夫说:“你不可能把所有东西都围起来，就能保护它。”“人们已经找到了绕过这些围栏的方法。你需要在控制系统架构的每一层都构建安全性。”

Medoff一层一层地描述了一些组件。

“在机器人内部，通常有一个嵌入式操作系统。然后是在机器人上运行的应用程序代码。一个很大的区域是所有的通信代码，将接收和处理命令给机器人。它所连接的东西显然是不同的，但它通常连接到更基于pc的系统。这些系统可能有数据库，或与机器人相关的配置，然后是它们自己的操作系统。然后，你有云服务器和它们的软件，通过网络界面与设备、机器人和用户通信。”

Exida是一家专业从事自动化系统安全、报警管理和控制系统网络安全标准实施的认证和知识公司。在与产品开发人员、集成商和终端用户合作评估系统功能安全和网络安全的同时，Medoff更专注于开发方面。最近，他发现自己经常与移动机器人开发人员合作。

梅多夫说:“我有时会与关心安全和网络安全的初创公司合作，所以他们从一开始就使用我们的服务。”“通常你不会看到这种情况。初创公司通常只专注于把产品推出市场。但我确实看到这种情况开始发生变化。”

精明的公司正变得积极主动，意识到网络安全需要团队合作。

进攻与防守

在安全领域，有两种基本的网络安全方法:进攻和防御。

Nathaniel Cole是网络安全测试和认证的首席技术官。他的球队在进攻。他们在开发和最终实现状态期间积极测试客户端设备。这种测试不仅适用于机器人和工业系统，还适用于消费、医疗和能源等行业的企业物联网。

科尔说:“我们在那里寻找漏洞，可能会破坏设备或系统，或破坏基础设施，并展示这是如何发生的。”“我们会尽最大努力模仿恶意行为者及其动机，并根据设备中可能识别出的威胁采取行动。”

测试不仅适用于设备本身。它涉及攻击者可以访问的整个生态系统(如图所示)。这包括设备框和硬件、用户和网络接口;部署到设备上的任何数据，例如第三方库和设备智能应用程序的自定义源代码;任何连接到该设备的移动应用程序;与该设备通信的任何系统都可能位于云中或公司网络中。

“在防守端，”科尔说，“你可能有监控或威胁分析。你正在观察网络上的个人、系统和设备的行为，以检测和响应潜在的恶意活动。”

这种防御作用可以扩展到实现和维护控制，以帮助保护这些设备。例如防火墙、气隙、网络配置和日志。

无论是进攻还是防守，这两个角色都不比另一个好。这两者都是一个全面计划所必需的。

默认存在风险

对于机器人操作员或最终用户来说，在设备初始安装时更改默认用户名和密码至关重要。安装了默认密码的机器人很容易成为黑客的猎物。

科尔说:“让制造商强制运营商在安装时更改默认密码和用户名，将对保护这些设备有很大帮助。”“不仅仅是机器人行业。摄像头、恒温器和路由器都遭到了恶意软件和入侵。

“随着机器人设备相互连接，安全通信不一定能实现，”科尔继续说道。“作为进攻性安全从业者，我们不一定能够闯入并获得访问权限，但网络内的某些人肯定能够看到这种通信。你可以开始弄清楚如何操纵这些流量，并有可能获得一定程度的访问机器人机器的权限。我们已经看到，我们有可能通过网络接口获得管理能力，并完全改变机器人设备的工作方式。它没有被保护、加密或以某种方式混淆来回传输的数据。它不再提供数据完整性，但也不再为设备提供安全性。因为现在，我们知道如何与它互动。”

设计安全

机器人的网络安全仍然是一个不成熟的领域。Cole表示，机器人行业开始了解其重要性，以及如何从最初的设计一直到机器人的实施实现安全。

“这不仅仅是制造商的责任，”他说。“实施者(机器人集成商)很重要，但你仍然有操作员，他们将日复一日地运行该设备，他们有责任建立深入的安全性。这超越了设备本身和实现，延伸到它们的边界，它们的内部网络结构和能力。”

必须考虑到整个生态系统。这在远程监控应用程序中尤其重要。

科尔说:“如果你有远程监控能力，而且你有一个可以通过桌面浏览器和手机访问的网络界面，这些也会发挥作用，因为你可以来回发送数据。”“你需要某种程度的安全保证，确保你在远程监控设备中看到的数据是安全的。

你还必须考虑所有的软件，包括辅助设备的软件，如机器视觉摄像头，功能安全设备，如激光扫描仪，其他传感器，以及机器人手臂末端工具。Cole说，用户需要确保这些设备输入的完整性，这样就不会被操纵，使机械臂或控制器做一些不应该做的事情。

科尔说:“重要的是要记住，对于制造商来说，他们并不需要制造100%安全的机器人。”“他们正试图构建用于多个用例的东西。他们希望让实现者和操作员发挥创造力，使用机器人控制器和手臂，以及不同的附件，无论他们想要使用它。这使得构建安全性变得非常困难，因为制造商不知道所有的实现案例。但是他们可以构建组件，允许实现者和操作人员将其带过终点线以确保其安全。为了确保这些功能的安全，需要进行深度防御和协作。”

调试软件至关重要

据梅多夫说，漏洞百出的软件是网络攻击者的主要入口。无漏洞软件对工业物联网机器人系统至关重要。

“人们不明白漏洞的来源通常是软件中的漏洞，”梅多夫说。“你需要从源头上防止它们，也就是在你开发产品的时候，而不是在事后，现在这种情况往往更常见。”

梅多夫说，一个常见的误解是，人们认为软件bug是与生俱来的，并且会一直存在。

“如果我们能让公司改变他们开发产品的方式，他们就不必一直存在。这可能是一个巨大的障碍，但我认为这是必须要做的事情。只要你有所有这些漏洞和漏洞，你就在打一场必败的战斗。系统中最薄弱的环节是可能受到攻击的环节，所以所有这些不同的层面都必须得到保护。”“要做到这一点真的很难，除非所有人都遵循同样的剧本。”

这就是行业标准发挥作用的地方。

网络安全自动化标准

国际电工委员会(IEC)与国际自动化学会(ISA)共同发布了一系列标准和技术报告，定义了实施安全工业自动化和控制系统(IACS)的程序。该标准为那些创造产品、集成系统和操作工业自动化和控制系统的人提供了指导。

ISA/IEC 62443标准包含七个基本要求(FR)。斯坦利建议机器人制造商确保他们的产品尽可能多地满足这些要求。

• 识别和认证控制(IAC)。通过验证请求访问的任何用户的身份和身份验证来保护设备;
• FR 2使用控制。通过验证在允许用户执行操作之前已授予必要的权限，防止对设备资源进行未经授权的操作;
• 系统完整性。确保应用程序的完整性，防止未经授权的操作;
• FR 4数据保密。确保通信渠道和数据存储库中的信息保密，以防止未经授权的披露;
• FR 5数据流受限。通过区域和管道分割控制系统，以限制不必要的数据流;
• FR 6对事件的及时响应。对安全违规行为作出回应，通知相关部门，报告所需的违规证据，并在发现事件时及时采取纠正措施;
• FR 7资源可用性。确保应用程序或设备的可用性，防止基本服务降级或拒绝。如果得到妥善解决，这些要求将降低整个工业机器人系统的许多网络安全风险。

标准为公司提供了一种更简单的方法来评估他们的供应商，并确定他们是否有适当的安全协议。

斯坦利说:“如果我是一个机器人制造商，我希望我的网络安全得到某种认可，那么我希望我的机器人符合IEC 62443标准。”“这样做的好处是，在你完成评估，确定机器人的安全程度之后，你实际上可以分配一个安全级别。”

当机器人供应商和用户寻找合作伙伴来帮助他们解决多层复杂的网络安全问题时，考虑服务供应商的记录和经验是很重要的。一个了解制造领域，特别是自动化领域，并且具有行业标准的工作知识的团队是一个很好的选择。

工业物联网机器人系统的每个层面都存在漏洞。评估和减轻潜在的网络安全风险是每个人的责任。对于一个安全的机器人来说，它也必须是网络安全的。

Tanya M. Anandan是特约编辑机器人工业协会(RIA)和机器人在线．RIA是一个非营利性的行业协会，致力于通过机器人技术和相关自动化来提高北美制造业和服务业的区域、国家和全球竞争力。这篇文章最初出现在RIA网站上．RIA是CFE媒体内容合作伙伴推进自动化协会(A3)的一部分。由制作编辑克里斯·瓦夫拉编辑，控制工程， CFE传媒，cvavra@cfemedia.com．

原始内容可以在www.robotics.org．

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。