【臺灣資安大會直擊】國際工控資安發展聚焦5大面向，臺灣將在7月設置水廠設施測試平臺

近年IT領域的資安的威脅正衝擊OT領域，不只是影響高科技製造業的自動化產線，也危急國家關鍵基礎設施，一旦運作中斷，必定帶來的極大影響。而工控的資安議題，也成為近年政府、產業，以及企業與民眾都會關心的議題。

在3月中舉行的臺灣資安大會上，資策會資安科技研究所所長毛敬豪，針對工控資安的議題，說明了國內外對此的關注焦點與現況，以及他們資安所的發展目標，同時也強調在國際上被廣泛採納的工控系統標準IEC 62443之重要性。

為了點出工控安全對於臺灣的影響，毛敬豪從臺灣產業結構談起，並以臺灣製造業對我國出口的衝擊面向來說明。例如，根據財政部統計處資料，2015年的臺灣總出口值達3,360億美元，其中電機電子業的出口值，佔了超過一半以上的比例，達1,741億美元。此外，臺灣工業總產值為4,603億美元，電機電子相關上下游產業的產值，也是超過一半。

而且，工控資安與臺灣產業轉型息息相關，尤其是智慧製造。毛敬豪提到了3個現況，像是製造業資安認知較弱，大多不知道為何或如何導入；其次，臺灣是ICT產品生產大國，但產品多未具備資安功能，也未符合國際標準規範；第三，資安業者在企業資安解決方案完整，但缺乏支援工控環境，需要跨領域更新發展。

因此，在國內的工控資安推動上，毛敬豪指出，需要從人才、制度與技術這三大面向來推動。例如，提升工控業者資安意識、培養工控資安專業能力，還要制訂工控合規基準與協助導入，以及強化OT業者產品競爭力，與促進資安業者發展工控資安解決方案。而要做到這些項目，還有一個重要的關鍵就是──工控實驗場域。

今年7月將建置測試平臺，目標是幫助資安產品萃煉與教育訓練

「做工控安全的最大問題，也是第一個問題，就是沒有可實作的場域。」毛敬豪指出。這幾年，政府對於關鍵基礎設施的安全已經有所動作，舉例來說，前兩年資策會與工業局推動開放關鍵基礎設施場域，不僅協調水、電、油廠，並與資安業者合作到實際場域測試，以協助國內業者累積產品與技術研發經驗。

在國際上，目前也有建構工控資安測試平臺（Testbed）實驗場域的案例。毛敬豪舉例，像是美國規畫了國家SCADA測試平臺（NSTB），是大型的室外實驗場域，由美國能源部旗下單位負責規畫與監督。在鄰近的亞洲地區，新加坡設計大學（SUTD）設有小型的室內實驗場域，而日本也設立日本控制系統安全中心（CSSC）。

關於國際上的工業控制資安測試場域規畫，目前美國、新加坡與日本都有可借鑒的案例。

對此，毛敬豪揭露他們單位今年的新目標，就是執行工控實驗場域計畫。預計將在今年7月，與日本CSSC共同合作，建立化工水位串級控制流程的測試平臺。

然而，為何臺灣要打造這樣的模擬測試場域呢？毛敬豪說明，主要有兩大目標，首先，希望國內資安廠商可以在這樣的場域上做產品的「萃煉」，其次是要藉由這樣的環境來做教育訓練，以幫助國內製造業認識可能的風險，或是進行攻防演練。

關於教育訓練的方向，他也進一步解釋，訓練對象將分為OT人員與高階主管。舉例來說，先是要讓OT的人員來瞭解威脅與資安的概念，而目前他們規畫了兩個攻擊場景，透過惡意命令注入關閉制水閥開關，以及偽冒監看數據回應，來認識如何滲透測試與修補；另一是針對高階主管的教育，讓經營管理要懂得資安風險。

毛敬豪指出，提供一個工控資安場域讓大家都能使用，Testbed扮演著重要的角色。而Testbed的建立也應與自身實際需求相關，油水電就是考量，而在資金條件下，目前他們的規畫以水廠設施為主，將模擬水處理上下游3道液位控制，建置大型儲水槽、可變控制水閥、緊急洩水出水口、液位傳感器與揚程馬達等，而且，相關規格也已經確立，將搭配Emerson Delta V DCS控制系統，以及人機介面、PLC程式設計與情境變因控制等。

對於工控資安的議題，在臺灣資安大會現場，毛敬豪也對外揭露他們最新的計畫，預計將在7月打造一個工控實驗場域，建置化工水位串級控制流程Test bed，而目前相關規格也都已經開出，當中並將包含兩項演訓情境。

推動工控資安也要重視人才培育、標準導入，以及協助國內業者通過認驗證

從國際工控資安發展趨勢來看，毛敬豪整理了美歐日的工控資安發展趨勢，並從5大面向加以分析──包括人才培育、標準導入與合規、風險評估服務、IEC 62443認驗證輔導，以及工控資安產品與場域，這也將是臺灣在工控資安發展可借鑒之處。

毛敬豪指出，以人才培育與工控資安產品與場域方面而言，美、日兩國都有Testbed與演訓上的規畫，也有工業控制系統原廠，而場域上則有美國的NSTB與日本的CSSC。而就臺灣來看，目前這兩個面向，是正要推動發展的一塊。

至於其他方面，在標準導入與合規上，毛敬豪表示，在制度上，美、歐（德）、日等國均認可並採用IEC 61508、IEC 62443等國際標準；在風險評估服務上，美國發展較為完備，已有風險評鑑與標準認驗證，他們看到日本最近有NEC正在推展；至於IEC 62443認驗證的輔導的檢測認證機構方面，在美國有ISASecure、Exida，德國有TUV Nord與TUV Sud，日本有CSSC。而目前臺灣在此三個面向的發展較缺乏，將是未來需關注的部分。

針對國際主要國家的工控資安發展趨勢進行比較，毛敬豪表示，臺灣目前在人才培育與工控資安產品與場域這兩大方面，已經有所推動。

對於工控資安的安全標準方面，毛敬豪特別強調IEC 62443工業控制安全標準的重要性。該標準提供了OT良好的工程管理指南，當中並分為四大部分，分別是一般性、政策和程序、系統與部件。對於資安需求等級高的高科技、大型製造業，應該要關注。他並提醒，工控資安不能只有ISO 27001，他指出，包括ISO 27001、NIST Cybersecurity Framework框架，都是以風險管理的導入來看資安的問題，但這兩個框架用在工控會有許多挑戰。不過，對於難以投入資安的小型製造業者而言，仍有一定的幫助。

此外，對於IEC 62443符合性驗證，毛敬豪也補充說明，例如美國ISASecure認證是基於IEC 62443標準開發的合規性認證，當中包含了三大類，分別是嵌入設備安全保證、系統安全保證與安全開發生命周期保證。較特別的是，他們看到日本在這項國際技術標準的推動，已將ISASecure認驗證體系移植到日本市場，讓日本當地就可以對國內廠商產品做驗證，而不用送到國外。

而為了幫助臺灣業者，因此，他們未來也將計畫推動本地的ISASecure認驗證，讓國內業者能以中文申請並在臺進行驗證。

同時，他還提到了IEC 62443與ICS網路安全生命週期的關連性，主要分為三大階段，分別是評估階段、執行階段與維護／維持階段。舉例來說，近年很多工控資安解決方案都在提Security Monitoring，這是屬於維護／維持階段的部分，但他也提醒，企業組織該要注意前面兩個階段做好了沒有。

另外，毛敬豪認為，工控資安也要建構生態系，整合像是產業及領域的專家、工控安全專業顧問、資安業者、學術機構、公協會與系統整合業者等，並希望推動垂直領域的技術整合。無論如何，這些工控資安上的規畫，不僅是協助臺灣產業，降低工控資安所遭遇的風險，提升工控資安意識，同時也希望創造出工控資安產業發展的機會。

未來，他們也將推動ISASecure-Taiwan認驗證，期望讓國內廠商產品在本地就可以做相關驗證。

其他相關工控安全標準