近年IT領域的資安的威脅正衝擊OT領域,不只是影響高科技製造業的自動化產線,也危急國家關鍵基礎設施,一旦運作中斷,必定帶來的極大影響。而工控的資安議題,也成為近年政府、產業,以及企業與民眾都會關心的議題。

在3月中舉行的臺灣資安大會上,資策會資安科技研究所所長毛敬豪,針對工控資安的議題,說明了國內外對此的關注焦點與現況,以及他們資安所的發展目標,同時也強調在國際上被廣泛採納的工控系統標準IEC 62443之重要性。

為了點出工控安全對於臺灣的影響,毛敬豪從臺灣產業結構談起,並以臺灣製造業對我國出口的衝擊面向來說明。例如,根據財政部統計處資料,2015年的臺灣總出口值達3,360億美元,其中電機電子業的出口值,佔了超過一半以上的比例,達1,741億美元。此外,臺灣工業總產值為4,603億美元,電機電子相關上下游產業的產值,也是超過一半。

而且,工控資安與臺灣產業轉型息息相關,尤其是智慧製造。毛敬豪提到了3個現況,像是製造業資安認知較弱,大多不知道為何或如何導入;其次,臺灣是ICT產品生產大國,但產品多未具備資安功能,也未符合國際標準規範;第三,資安業者在企業資安解決方案完整,但缺乏支援工控環境,需要跨領域更新發展。

因此,在國內的工控資安推動上,毛敬豪指出,需要從人才、制度與技術這三大面向來推動。例如,提升工控業者資安意識、培養工控資安專業能力,還要制訂工控合規基準與協助導入,以及強化OT業者產品競爭力,與促進資安業者發展工控資安解決方案。而要做到這些項目,還有一個重要的關鍵就是──工控實驗場域。

今年7月將建置測試平臺,目標是幫助資安產品萃煉與教育訓練

「做工控安全的最大問題,也是第一個問題,就是沒有可實作的場域。」毛敬豪指出。這幾年,政府對於關鍵基礎設施的安全已經有所動作,舉例來說,前兩年資策會與工業局推動開放關鍵基礎設施場域,不僅協調水、電、油廠,並與資安業者合作到實際場域測試,以協助國內業者累積產品與技術研發經驗。

在國際上,目前也有建構工控資安測試平臺(Testbed)實驗場域的案例。毛敬豪舉例,像是美國規畫了國家SCADA測試平臺(NSTB),是大型的室外實驗場域,由美國能源部旗下單位負責規畫與監督。在鄰近的亞洲地區,新加坡設計大學(SUTD)設有小型的室內實驗場域,而日本也設立日本控制系統安全中心(CSSC)。

 

關於國際上的工業控制資安測試場域規畫,目前美國、新加坡與日本都有可借鑒的案例。

對此,毛敬豪揭露他們單位今年的新目標,就是執行工控實驗場域計畫。預計將在今年7月,與日本CSSC共同合作,建立化工水位串級控制流程的測試平臺。

然而,為何臺灣要打造這樣的模擬測試場域呢?毛敬豪說明,主要有兩大目標,首先,希望國內資安廠商可以在這樣的場域上做產品的「萃煉」,其次是要藉由這樣的環境來做教育訓練,以幫助國內製造業認識可能的風險,或是進行攻防演練。

關於教育訓練的方向,他也進一步解釋,訓練對象將分為OT人員與高階主管。舉例來說,先是要讓OT的人員來瞭解威脅與資安的概念,而目前他們規畫了兩個攻擊場景,透過惡意命令注入關閉制水閥開關,以及偽冒監看數據回應,來認識如何滲透測試與修補;另一是針對高階主管的教育,讓經營管理要懂得資安風險。

毛敬豪指出,提供一個工控資安場域讓大家都能使用,Testbed扮演著重要的角色。而Testbed的建立也應與自身實際需求相關,油水電就是考量,而在資金條件下,目前他們的規畫以水廠設施為主,將模擬水處理上下游3道液位控制,建置大型儲水槽、可變控制水閥、緊急洩水出水口、液位傳感器與揚程馬達等,而且,相關規格也已經確立,將搭配Emerson Delta V DCS控制系統,以及人機介面、PLC程式設計與情境變因控制等。

對於工控資安的議題,在臺灣資安大會現場,毛敬豪也對外揭露他們最新的計畫,預計將在7月打造一個工控實驗場域,建置化工水位串級控制流程Test bed,而目前相關規格也都已經開出,當中並將包含兩項演訓情境。

推動工控資安也要重視人才培育、標準導入,以及協助國內業者通過認驗證

從國際工控資安發展趨勢來看,毛敬豪整理了美歐日的工控資安發展趨勢,並從5大面向加以分析──包括人才培育、標準導入與合規、風險評估服務、IEC 62443認驗證輔導,以及工控資安產品與場域,這也將是臺灣在工控資安發展可借鑒之處。

毛敬豪指出,以人才培育與工控資安產品與場域方面而言,美、日兩國都有Testbed與演訓上的規畫,也有工業控制系統原廠,而場域上則有美國的NSTB與日本的CSSC。而就臺灣來看,目前這兩個面向,是正要推動發展的一塊。

至於其他方面,在標準導入與合規上,毛敬豪表示,在制度上,美、歐(德)、日等國均認可並採用IEC 61508、IEC 62443等國際標準;在風險評估服務上,美國發展較為完備,已有風險評鑑與標準認驗證,他們看到日本最近有NEC正在推展;至於IEC 62443認驗證的輔導的檢測認證機構方面,在美國有ISASecure、Exida,德國有TUV Nord與TUV Sud,日本有CSSC。而目前臺灣在此三個面向的發展較缺乏,將是未來需關注的部分。

針對國際主要國家的工控資安發展趨勢進行比較,毛敬豪表示,臺灣目前在人才培育與工控資安產品與場域這兩大方面,已經有所推動。

對於工控資安的安全標準方面,毛敬豪特別強調IEC 62443工業控制安全標準的重要性。該標準提供了OT良好的工程管理指南,當中並分為四大部分,分別是一般性、政策和程序、系統與部件。對於資安需求等級高的高科技、大型製造業,應該要關注。他並提醒,工控資安不能只有ISO 27001,他指出,包括ISO 27001、NIST Cybersecurity Framework框架,都是以風險管理的導入來看資安的問題,但這兩個框架用在工控會有許多挑戰。不過,對於難以投入資安的小型製造業者而言,仍有一定的幫助。

此外,對於IEC 62443符合性驗證,毛敬豪也補充說明,例如美國ISASecure認證是基於IEC 62443標準開發的合規性認證,當中包含了三大類,分別是嵌入設備安全保證、系統安全保證與安全開發生命周期保證。較特別的是,他們看到日本在這項國際技術標準的推動,已將ISASecure認驗證體系移植到日本市場,讓日本當地就可以對國內廠商產品做驗證,而不用送到國外。

而為了幫助臺灣業者,因此,他們未來也將計畫推動本地的ISASecure認驗證,讓國內業者能以中文申請並在臺進行驗證。

同時,他還提到了IEC 62443與ICS網路安全生命週期的關連性,主要分為三大階段,分別是評估階段、執行階段與維護/維持階段。舉例來說,近年很多工控資安解決方案都在提Security Monitoring,這是屬於維護/維持階段的部分,但他也提醒,企業組織該要注意前面兩個階段做好了沒有。

另外,毛敬豪認為,工控資安也要建構生態系,整合像是產業及領域的專家、工控安全專業顧問、資安業者、學術機構、公協會與系統整合業者等,並希望推動垂直領域的技術整合。無論如何,這些工控資安上的規畫,不僅是協助臺灣產業,降低工控資安所遭遇的風險,提升工控資安意識,同時也希望創造出工控資安產業發展的機會。

未來,他們也將推動ISASecure-Taiwan認驗證,期望讓國內廠商產品在本地就可以做相關驗證。

其他相關工控安全標準

 


熱門新聞

Advertisement