敲响工业机器人网络安全警钟

伴随着工业机器人的广泛应用，其网络安全问题日益突出。近日，工信部赛迪研究院研究指出，工业机器人的网络安全防护能力异常脆弱，存在通信不安全、欠缺身份认证等问题。而我国对此还缺乏足够重视，必须提高警惕，并采取积极的应对措施。

目前，我国工业机器人已被广泛应用于汽车、橡胶、塑料、铸造、食品、化工等传统行业，以及电子通信、新材料、生物医药等高新技术领域。到今年底，我国工业机器人保有量预计超过40万台，约占全球总量的四分之一，居全球首位。

工信部赛迪研究院研究员刘金芳表示，工业机器人的广泛应用对我国实现制造强国目标意义重大。但是，工业机器人网络安全问题尚未完全引起我国相关部门、供应商、制造业企业等方面的足够重视，一旦发生重要数据泄露、生产线整体瘫痪、机器人攻击工人等网络安全事件，势必对我国制造业发展造成严重的冲击。

“研究发现，包括发那科、安川等在内的世界顶级品牌工业机器人都存在巨大的网络安全隐患。”刘金芳分析，工业机器人的网络安全问题主要集中在三个方面。

首先，通信安全隐患突出。通信系统是工业机器人的重要组成部分，有助于实现用户和工业机器人之间的无缝交互。在网络层面，工业机器人通信大多使用互联网、Wi-Fi、蓝牙等公开通信信道，没有使用加密信道，通信信息很容易被监听、篡改；在数据层面，大部分工业机器人通信过程缺少数据加密机制，当重要敏感信息往返于工业机器人与移动应用、互联网服务、计算机软件之间时，由于没有进行加密或者使用了弱密码，极易发生信息泄露。

意大利米兰理工大学和趋势科技联合发布的最新研究报告显示，目前全球至少有8.3 万台工业机器人通过互联网暴露给远程攻击者；网络安全咨询公司IOActive利用Shodan和ZoomEye等工具扫描互联网时，发现美国、丹麦、瑞典、德国和日本等多国使用的工业机器人存在严重的通信安全隐患。

其次，大量工业机器人欠缺严格的身份认证机制和授权管理，致使一些关键功能暴露在互联网上。一是大部分工业机器人未使用身份认证进行保护，致使未经身份认证的攻击者能通过计算机软件、移动应用、互联网服务等远程使用工业机器人的某些关键功能；二是大多数工业机器人没有通过授权管理保护自身功能，导致攻击者能在未经授权的情况下在工业机器人中安装软件，进而获得对工业机器人的完全控制。

刘金芳引用趋势科技的研究数据称，暴露在互联网上的8.3 万台工业机器人中有5100 台工业机器人未使用身份认证保护。

再者，使用开源软件、默认设置和软件更新不及时。很多供应商研发生产工业机器人时使用开源的软件、硬件、模拟器，但是开源项目存在很多安全问题，如常用的工业机器人操作系统ROS 已被证实存在明文通信、弱授权方案等安全问题，导致使用ROS的工业机器人也存在此类风险。

刘金芳表示，工业机器人出厂时多使用默认配置，制造业企业用户使用时未进行修改，加剧了工业机器人网络安全风险。由于更新工业机器人软件会对制造业企业用户产生一定影响，因此很多企业忽视软件更新，致使攻击者可利用已知安全漏洞攻击工业机器人，网络安全风险难以控制。

根据上述问题，刘金芳提出了三点建议：一是建议全国信息安全标准化技术委员会在监管机构的指导下，联合工业机器人供应商、安全服务商、用户等加快制定工业机器人网络安全国家标准。

国家标准制定应贯穿设计、生产、系统集成等多个环节的网络安全风险，例如，在使用开源框架和库时考虑其安全性；对软件安全开发生命周期进行管理；正确使用加密通信和软件更新；确保只有经过认证和授权的用户能够访问工业机器人服务和功能；指导用户进行安全配置等。

二是尽快开展工业机器人网络安全风险评估。建议工业机器人供应商依据已出台的网络安全政策、技术与管理标准，对上市前的新产品进行网络安全自评估或第三方评估，识别工业机器人安全威胁和脆弱性，确认已有安全措施，并评估一旦发生安全事件可能造成的危害。同时，建议国家主管部门针对涉及国家安全和存在重大安全风险的工业机器人，加强监督检查，提高防范意识，加大整改力度，强化风险控制，最大限度地保障工业机器人安全使用。

三是建立工业机器人网络安全预警平台。具体包括：建立国家工业机器人信息安全漏洞库，并在国家信息安全漏洞共享平台上及时披露工业机器人漏洞信息、发布补丁，建立工业机器人生产商、供应商和用户之间的沟通机制，通报工业机器人网络安全问题，督促用户及时更新软件；实时收集、汇总分析工业机器人网络安全事件信息，应用大数据对工业机器人生产故障、用户及设备的行为进行持续监测和分析，及时发现异常环节，并通过声音提示、图标闪烁等方式向工业机器人用户报警，协助供应商和用户采取安全措施。（夏小禾）