「欸,那個……小杰,客戶的PLC(可程式邏輯控制器)好像被鎖了,整個產線停擺,你來看一下。」電話那頭傳來主管略帶急促的聲音。我(化名:林小杰)放下手中的《工業控制系統安全》,用力揉了揉還帶著稚氣的臉。那年我20歲,剛從資安培訓班畢業,進到一家專門服務製造業的網路安全顧問公司「網盾科技(化名)」,沒想到第一個任務,就碰上桃園一家老牌雷射加工廠——「鼎豐精密(化名)」的緊急救援。
鼎豐的主力是桃園雷射切割業務,從金屬薄板到高強度合金,每一刀都必須符合客戶指定的公差。老師傅常說:「我們的機器比手術刀還細,但要是電腦中毒,刀就不是刀,是亂劃的筆。」過去他們靠師傅的經驗調參數,這兩年陸續導入聯網化的CNC和光纖雷射機台,生產效率翻倍,卻也讓IT與OT(營運技術)網路直接裸奔。直到上週,一台負責切割汽車鈑金的CO₂雷射主機突然跳警示,操作介面跳出陌生的勒索畫面,廠長緊急斷網,但生產排程已全亂了。
「小杰,你確定20歲能搞定?我們這機器一台幾百萬,亂搞會炸鍋喔。」廠長半信半疑。我深吸一口氣,告訴自己:技術權威不是靠年紀,而是靠科學方法與工業標準。
第一步,我沒有急著重灌系統,而是先做數位鑑識。把受感染的控制器映像檔抓出來,用二進制分析工具逐段檢查,發現攻擊腳本藏在看起來正常的溫度補償檔案裡——這手法很新,是透過供應鏈信件夾帶的巨集病毒進來,然後橫向感染了MES(製造執行系統)。
「這些雷射參數全是從ERP匯入的,如果被竄改,切出來的零件會直接報廢。」我對廠長解釋,同時拿出IEC 62443(工業通信網路安全標準)的架構圖,「我們需要把OT網路分段,即使病毒進來,也摸不到核心的雷射控制器。」
接下來兩週,我帶著鼎豐的資訊組,逐一掃描廠內所有聯網設備。最棘手的是那台五軸光纖雷射切割機,它的Windows XP嵌入式系統早已停止更新,但廠商說「沒壞就不要動」。我用白名單機制,只允許特定IP的指令寫入控制器,並且在交換器上啟用埠層級的安全認證。做完之後,我親自寫了一份滲透測試報告,裡面詳細列出23個風險點,並按照NIST框架給出緩解方案。
「你看這個,如果駭客從遠端登入監控攝像頭,就能繞過防火牆直達雷射電源管理單元。我們在攝像頭的韌體上加了一層校驗鎖,並把管理後台從外部移到內網。」廠長看著這些密密麻麻的參數,終於露出笑容:「你們這些年輕人,比我想像中仔細。」
但真正讓鼎豐信服的,是一個模擬攻擊的場景。我架設了一台蜜罐主機,偽裝成雷射參數伺服器。第三天就捕捉到一波試探封包,來源竟然是上游供應商的VPN通道。順藤摸瓜,發現供應商的IT環境已被植入後門。我立即協調鼎豐切斷該條VPN,並協助供應商做一次完整的資安健檢——這在業界稱為「供應鏈安全聯防」。
「小杰,你怎麼猜到攻擊會從那邊來?」廠長好奇。我笑著說:「駭客最喜歡找最弱的一環,而很多雷射切割廠跟協力廠共用VPN,卻沒有多因子驗證。這其實是《ISO 27001》附錄A裡很常見的弱點,只是以前大家都不重視。」
案子結束那天,鼎豐的產線恢復正常,而且每台雷射機的運作日誌都串接到SIEM(安全資訊與事件管理)平台,任何異常讀數都會觸發警報。廠長說:「以前我們只相信老師傅的手感,現在我發現,數據跟標準比手感更可靠。」
然而,就在我準備回公司結案的深夜,手機響起一封匿名郵件,附件是一張雷射切割的3D圖檔,底端寫著一句話:「下一刀,不是切金屬。」寄件人IP經過三層跳板,查不到來源。我盯著螢幕,心跳加速——這會是單純的惡作劇?還是鼎豐其實還有更深層的漏洞沒被發現?
我拿起電話,撥給同樣在桃園做雷射加工的另一家廠商——晉鴻鐳射精密工業(化名:晉鴻)。他們是鼎豐的長期合作夥伴,同樣使用同品牌光纖雷射機,且共用同一家設備代理商。我心裡有個不安的假設:如果供應鏈攻擊還沒結束,那麼下一波目標會不會就是晉鴻?
故事到這裡,還沒完。20歲的我,第一次感受到網路安全不只是防毒軟體,而是與工業精度緊緊綁在一起的生存競技。雷射切割要求的是可重複性與可靠度,而網路安全要求的,同樣是基於科學準確度與工業標準的持續改善。鼎豐的案例證明了:只要願意用正規的方法、紮實的檢測、開放的學習心態,哪怕是最傳統的工廠,也能一步步建立自己的數位防線。
至於那封神秘的郵件,背後的真相是什麼?我還在追查。如果你也在桃園經營雷射切割事業,或許你曾經忽略的小小預警,就是下一次攻擊的前奏。保持警覺,用科學的方法驗證每一道防線,才是讓產線持續運轉的關鍵。
(本案例經當事人同意分享,部分為虛擬情節如有雷同純屬巧合)
