【臺灣資安大會直擊】IT與OT各有不同的資安認證標準，企業仍可建立統一的管理制度來同時對應相關的要求，而非重複進行類似的工作

在數位轉型的風潮之下，為了因應各種資料交換與分析的需求，IT（資訊科技）與OT（營運科技）環境的融合已成必然的趨勢，但這也打破了過往OT環境的網路實體隔離，減少了一些保護，再加上OT環境的設備往往採用相對老舊的作業系統平臺，不僅存在著許多漏洞，而且因為需要持續運作，即使有對應的修補程式與軟體、韌體的更新版本，也不易找到合適的空檔來套用，結果導致OT環境面臨極大的資安風險。

而在今年的Cybsec 2020臺灣資安大會的OT安全論壇當中，資誠（PwC）智能風險管理諮詢公司風險及控制執行董事張晉瑞認為，我們可以透過資訊安全認證與資安框架的導入，持續落實與強化工控系統安全。

工業控制系統的資安問題，來自外部威脅、政府管制，以及內部風險

工業控制系統（ICS）或OT相關的網路威脅，已經是真實發生的事件，張晉瑞舉出一些實例來證明。回顧過去這十多年，全球各地已陸續發生相關的重大資安事故，像是：2008年土耳其輸油管線被攻擊，2010年伊朗核電廠遭到Stuxnet惡意程式攻擊，2015年烏克蘭因惡意程式攻擊發電廠的SCADA系統，而發生大停電，以至2018年WannaCry勒索軟體攻擊臺灣半導體公司，到了今年，也出現攻擊廢水處理設施的攻擊事件。

而在設備製造商的部份，政府也開始祭出鐵腕，對於沒有做好產品安全的業者提出法律控告，例如，美國聯邦交易委員會就針對網路設備廠商發起訴訟，去年7月達成和解，但條件是導入軟體安全防護計畫，確保他們生產的無線網路路由器和網路攝影機是安全的。

另一個資安風險的議題，是與近期興起的工業4.0、智能製造（Smart Manufacturing)）的風潮有關，企業必須儘快發展，而廠商的解決方案未實現完整的資安風險控管框架。有企業在完成相關的規畫之後找上PwC，請他們幫忙評估安全性，結果發現當中對於這方面並未多做著墨，例如，在設計這類解決方案時，因為想要得到效果，對於存取權限的提升、變更的程序，並無考量安全性的因素，。張晉瑞認為，當中可能存在6大風險：未訂定資訊安全政策、未訂定開發及維護管理標準作業規範、產品存取控制技術老舊（明碼處理／未加密）、供應鏈安全交互關係不清（多個供應商各自該負起的責任）、無資訊安全事故管理機制、沒有資安資產盤點管理。

而關於OT現場安控技術管理的問題，張晉瑞也引述PwC本身提出的OT網路十大常見的安全缺失來說明。舉凡OT系統的公開存取（從外面即可存取到OT系統）、OT網路的遠端遙控通訊不安全、安全更新有遺漏（沒有定期更新，產品生命週期長，但對於營運中斷的容忍度較低，難以停機更新）、日常的密碼相關作業不當（採用弱密碼或不用密碼）、防火牆組態與管理不安全、OT系統坐落在企業IT網路當中、OT系統連接企業IT網路的保護強度不佳、OT網路對外存取網際網路不設限、無線OT網路的加密與認證不安全（無線傳輸無加密或加密機制太弱）。而這些要點的產生，主要源於他們自身的全球網路環境進行的網路安全評估，以及滲透測試的經驗。而這些管理不周的環節，的確也吸引了駭客的注意。

在OT網路威脅影響的產業比例上，張晉瑞則引用ICS-CERT的調查結果來說明容易遭受攻擊的產業，當中比例最高的是能源業（占32％），關鍵製造業占26％，其餘產業都低於10％，而這兩種產業都導入了大量自動化、排程製造的機制，處於不能中斷、長期營運的狀態，可能沒有適當地進行更新，也沒有考慮得那麼多，因此容易受到攻擊。

為何工業控制系統的安全這麼難管理？在企業面臨的資安挑戰上，張晉瑞認為，可以區分為IT和OT兩大部分，其中的IT是指企業整體資訊治理，而OT是指工業現場資安管理。

對IT而言，他認為有六大問題，首先，工業控制系統難以盤點，因此無法管理（這些設備位於產線現場，IT人員不知道有多少臺、無法即時監控其狀態，而且它們可能從正式上線之後就從未關機，現場人員擔憂一旦將其關機，後續可能就無法重新啟動）；第二，面對智能設備製造現場的網路環境，也缺少安全監測防護措施；第三，企業內未設置負責網路安全的專門組織和力量，沒有制定防護、應急和恢復的預備計畫（可能由IT人員兼任、處於人力與資源不足的狀態，且不像金融業有相關法律遵循要求）；第四，普遍處於沒有任何防護手段的空窗狀態；第五，企業不了解本身的智慧製造系統資產，以及系統如何互聯；第六，對於當前的勒索軟體危害與安全事件發展趨勢和應對策略，缺乏了解。

在OT的部份，也有許多挑戰。例如，本身的資安認知不足（過去並未考慮資安防護需求）、不了解物聯網與雲端資安威脅及需求、內部沒有資安組織及合規知識、欠缺資安人力資源規畫、對自身資安應變措施一無所知，老舊設備無法更新資安修補程式，而在面對資安需求時，往往也需要供應商協助。

資安治理、IT安全、OT安全要均衡發展，可兼容NIST CSF、ISO 27001、IEC62443等資安管理框架

若要全面確保IT與OT整體安全防護，我們可透過資安認證與相關管理框架的導入來持續落實。從企業的角度來看，IT安全我們已投入許多資源來進行，雖然不同公司的成熟度有別，但至少對這個議題有一定程度的了解，然而，若公司的環境同時存在著OT設備與技術，我們並不希望顧此失彼，還是必須要關注相關的安全議題，因此，要追求的是企業整體資安治理，並且兼顧IT與OT這兩邊的防護。

在IT安全的部份，我們對於應用程式、系統如何設計、修改與管理，都較為熟悉，而從制度面來要求時，會透過ISO 27001來推動，當中融合資安管理制度與控制技術，至於OT安全的部份，則是遵循IEC 62443，並且融合物聯網與雲端的工業控制系統防護機制

然而，面對這樣不同的資安需求，只能各行其是嗎？張晉瑞說：「我們難道要左邊穿一件衣服，右邊也穿一件衣服嗎？兩邊的制度還不一樣，這很不合理。」因此，要從整個企業資訊安全的角度來考量如何管理，此時，我們可以參考NIST Cybersecurity Framework（CSF）這樣的框架，透過識別、保護、偵測、回應、復原等面向，來進行資安管理。

而在IT安全的作法上，我們可以運用ISO 27001的管理制度，來評估風險、重要性，再把資源放在較優先處理的部分，這是風險管理的過程；而OT安全的作法上，目前最熱門的議題就是關於IEC 62443的標準，它就是針對OT、工控系統的安全規範，而我們可以參考當中的要求來強化防護。

不過，這樣的局面可能會讓人感到混亂，因為一邊要做ISO 27001，但另一邊要做IEC 62443，張晉瑞說，「一家大公司同時穿好幾件衣服，很奇怪」，因此，他呼籲我們該思考的是，如何將這些資安規範融合在一起。

針對這樣的需求，張晉瑞也用他們為一家製造業控股公司的規畫，來說明實際的作法。一般而言，想要實現管理目標，固然有許多面向要考量，但相關的因應作為是可以兼容各種要求，舉例來說，IT的部份，我們可能已經導入ISO 27001，而有144個控制項，而在OT的部份，導入IEC 62443，又有一些必須採用的控制手段，甚至我們還可以將道瓊永續指數（DJSI）整合進去對應。

如果有些企業需要取得這樣的分數，由於DJSI近幾年來也開始針對資安層面提出問題，他們會詢問企業相關的控管防護程度、是否有所作為，然而，企業若被對方要求揭露這樣的資訊，張晉瑞說，難道要為了DJSI重新做一套？事實上，相關作為是一樣的，但提報給DJSI的作法是有對應的，而且是能符合當中的特定條款規範，以及提供回覆方式，因此，只需做一次就能因應多種相關的要求，就像「穿一件衣服，就能因應三種不同的場合需求」早上要開會、中午要與客戶見面、晚上要參加宴會，都只需要穿著同一套服裝，而這也是企業要追求的目標。張晉瑞強調，並不是透過一個個資安框架的導入來達成要求。

了解IEC 62443的基本架構與認證範圍

而在IT與OT並存的營運架構下，企業該如何檢視與實施資安控管與防護？基本上，我們可區分為5個層級，最頂端是企業管理層，接下來是業務邏輯層，當中有ERP等各種管理系統，也是IT安全過去經常要去強化的部份，再往下是OT的範疇，裡面包含了營運管理層（MES）、流程監控層（SCADA）、自動控制層（PLC）、現場設備層（感測器、致動器），而在後三層當中，就有工業控制系統的設備。面對這些層級，該把風險管理的重點擺在哪裡？我們必須要有制度規範來找出這些關鍵。

以IEC 62443而言，分成下列4個區塊。

第1部分（IEC 62443-1系列）是這項標準的概論與通用介紹，包含了4種規範。

第2部分（IEC 62443-2系列）是「政策」與「執行程序」，主要規範的對象是業主（Asset Owner），例如，高鐵公司想要管理自動控制系統的資安，因此想要推動相關的制度，該公司就是業主，他們就可以選擇IEC 62443-2-1，他們需要導入工業自動化與控制系統（Industrial Automation and Control System，IACS）的安全管理系統，而這系統就像ISO 27001的第二管理系統。

張晉瑞說，在規範當中，只要提到「Requirement」的部份，都是可驗證的（Cross-validation，CV）、驗證公司可發證書的；而對於提供解決方案的供應商要求，則是要參考IEC 62443-2-4的規範。

第3部分（IEC 62443-3系列）是針對「系統」。如果業主需要採用監控系統，有廠商想要投標、負責這項建置案，那麼，廠商所要遵循的標準，就是這邊的規範，要求遵循的對象正是系統整合者（System Integrator），而該廠商就要注意當中的系統安全要求，以及資訊安全等級區分。張晉瑞也舉例說明這邊的原則，例如，供一般人使用的可能是第一級，企業用的是第二級，軍用是第三級，需上到太空的是第四級。而有了這些依據，廠商就可以去規畫他們承包的監控系統。

第4部分（IEC 62443-4系列）是針對「元件」。一家廠商提供的解決方案，未必全部由他們生產、製造，可能會使用到多個元件，像是監視器、硬碟、路由器，廠商再將這些元件組成一整套系統，而元件的供應商可以考量是否遵循相關的OT安全標準。

以IEC 62443-4-2來看，所規範的就是元件本身的產品安全，是否符合技術規格的需求，不過，產品送驗時通常都是最佳狀態，但驗過之後，還是有可能因為受到修改而未能維持高水準，張晉瑞表示，因此，現在的趨勢是，驗證必須同時涵蓋IEC 62443-4-1（安全的軟體開發生命週期，SSDLC）。

簡而言之，如果你是元件提供商，就考慮IEC 62443-4-1、IEC 62443-4-2；如果你是系統整合廠商，就考慮IEC 62443-3-3、IEC 62443-2-4；如果你是業主，要知道如何管理，或是要求供應商該如何注意安全，就要注意IEC 62443-2-1、IEC 62443-2-4；其餘的部份（IEC 62443-1）是這項標準的指南，大家都可以參考。

IEC 62443可涵蓋SSDLC的整體與細部流程的資安要求

關於安全的軟體開發生命週期，企業IT人員相對熟悉，然而，對於OT人員而言，若要做好資安，也可以應用這樣的作法，並且參考IEC 62443的資安標準來驗證。

例如，在設計階段，我們把安全架構定義出來，執行威脅建模（Threat Modeling）；在驗證階段，要做弱點評估（VA）、滲透測試（PT）、模糊測試（Fuzzy），以及第三方測試。若對照IEC 62443的要求來看，這些要求從頭到尾都可以涵蓋在IEC 62443-4-1，同時，在IEC 62443-4-2、IEC 62443-3-3、IEC 62443-2-2、IEC 62443-2-4，也都能涵蓋到部分要求。

基於這樣的規範設計架構，張晉瑞再次強調，企業在導入不同的資安認證標準時，如果不希望重複進行、每次都要從頭再做一次，可以參考這樣的作法來對應，並且能夠明白，當中採行的相關措施也能同時符合其他項目的要求。

張晉瑞以IEC 62443-4-1為例來說明，這部份已針對安全的軟體開發週期要求得相當詳細，分成8個類別、47個實作，如果這麼多要求都能夠做好，其實就等同於回歸到ISO 27001，而且做得更好，而且，也就順勢涵蓋到了ISO 27001，我們也不會重工，只是做得更精、更細。

省思這些規範要求存在的意義，張晉瑞感慨地說，能夠讓我們在整個軟體開發的過程當中，真正去思考資安這個元素，也才能知道在開發階段當中，工控系統應達成的資訊安全要求，而不是到後面出了包，才意識到當初設計時根本沒想到這些狀況。

此外，IEC 62443的應用，不只是針對產品開發時期的資安要求，也能用於資安事件的應變處理，PwC目前也針對IEC 62443設計出一套事件應變模型。張晉瑞表示，這個OT與我們在IT緊急應變的流程類似，從事前的準備、計畫、支援、演練，以及事中的威脅與應變識別，到事後的降低衝擊、消除與回復，都是相同的概念，這些也都可以放在原本的應變計畫當中。

建立統一的管理制度，將安全強化的資源放在重要、高風險的部份

關於IT與OT的融合，已是當前企業所必須面對的挑戰，然而，在資安防護的工作推動上，我們該思考的是如何提升效率，而不只是扮演救火的角色，疲於奔命卻仍舊處於事倍功半的狀態。

張晉瑞認為，要做好資安，並不只是區分IT與OT，各行其是，而應該要好好的一起做。

一般而言，我們往往若面臨資安問題、事故，就必須設法修補與善後，但不一定能掌握IT與OT資產的風險，以及重要性的高低，因此出現資源不斷投入，成效卻不彰的狀況。然而，企業的資源（人力、預算）有限，因此，我們還是要思考整體資安的管理，注意哪些組織要對流程進行管控、稽核，並且制定策略、實施正確的處置措施。

此時，若能有一套管理制度，企業就可以知道哪些是重要的、風險較高的部分，再將資源放在這邊，就能有效保護重要資產、大幅降低風險。而在實際營運的過程當中，我們也會面臨種種工作的要求，可參考資安認證的標準來驗證，舉例來說，在弱點更新的管理上，在ISO 27001裡面，我們可參考A.12.6技術脆弱性管理的規範，如果是OT的部份，則可根據IEC 62443-2-3 IACS環境的弱點修補管理來進行控管。

整體而言，張晉瑞建議，上述這些都是該做的項目，但我們應該想的是如何由上而下，而且是橫跨整個企業來施行，以及該把資源放在何處較適當。若能建立一套管理制度，就能夠幫我們找到開始著手的起點，知道從哪裡開始做，而相關規畫，企業可以自己做，或找專業顧問公司來協助。