【專家談新室】資安管理國際標準新面向－從IT到OT

提供機構：

SGS管理學院

加入收藏

轉寄

友善
列印

HOW CAN YOU SECURE CUSTOMER DATA?

【2019 SGS 資訊治理年會講師專欄】
資安管理國際標準新面向－從IT到OT

主講者 : 劉士弘/
SGS驗證及企業優化事業群ISO 27001 產品經理

OT（Operation Technology）營運科技已經成為繼IT（Information Technology）資訊科技之後駭客的主要攻擊目標之一，國際標準IEC 62443為OT系統與產業自動化控制系統IACS提供了完整的資訊安全管理規範與實作指引，讓這些系統與設備於順利運作的同時亦能夠兼顧資訊安全。

OT設備/產業自動化與控制系統(IACS)成駭客攻擊目標
系統面臨重大挑戰

隨著工業4.0的發展趨勢以及物聯網裝置的盛行，讓OT系統與產業自動化控制系統(IACS)相關安全事件與風險激增，像是2015年底的烏克蘭大停電被證實是遭駭客入侵的世界首例，原因是受到駭客惡意軟體攻擊、網路釣魚／社交工程，造成6小時電力中斷、22萬民眾受到影響；同時，2017年台灣的大潭電廠也曾因承攬商的操作人員操作氣閥失誤，導致供應大潭電廠1到6號機組跳電，造成668萬戶受到影響；另外，去年(2018)發生的台積電8月病毒事件則因操作失誤（未執行病毒檢測就把機臺接上網路），導致認列25.96億元的鉅額損失，並造成交貨延遲，這些都是OT設備及系統未做好控管導致重大風險與損失的案例。

除了高科技製造產業外，所有營運流程涉及自動化與控制系統(IACS)或OT設備的企業皆存在類似風險；以醫療產業為例，若駭客透過設備或系統漏洞入侵，除了竊取高機密的病患資料外，更有可能影響各類醫療儀器的正常運作，包括正子攝影、斷層掃瞄、核磁共振、輸液幫浦、雷射機、心肺機、氣切裝置、葉克膜…等；試想若是放射線醫療機器、胰島素幫浦等裝置被入侵，更可能導致病患接受過高劑量的放射線或胰島素，而造成病患的生命威脅，不可不慎。
然而，IT與OT於的資安著重目標有著根本上的差異；IT首重機密性（Confidentiality）、完整性（Integrity）、可用性（Available）；OT則更重視安全性（Safety）與可用性，其次才是完整性與機密性。同時，OT系統以及IACS工控系統亦非常要求即時性與持續運作，不論任何資安控管設計與實施，都不應太過妨礙人機互動，對於重新開機、系統補強更新、系統模組更版…等可能造成短暫運作中斷的容忍度很低；對於備份及備援的要求亦與有別於傳統資安概念。此外，人員安全（safety）第一優先，所有與人員安全有關的功能都不應該因任何問題而失效，這也有別與以往IT的資安設計。

因為OT設備與IACS工控系統上述特性，再加上其較長的設備生命週期以及停機容忍度低、測試與驗證代價高等因素，常面臨支援服務終止（End of Service）、缺乏有效的系統升級（Upgrade）與修補（Patch）機制…等問題；同時，OT設備及IACS工控系統往往因為操作人員缺乏資安意識或是有效的訓練，導致人員操作失誤且常成為駭客社交工程的首要目標；近年，企業與組織為強化自身競爭優勢，開始強調IT與OT的整合運作，這使得OT系統與IACS工控系統的設計逐漸從封閉走向開放、整合，而業界又缺少同時熟悉IT及OT之專家，無法有效設計與落實有效的資安管理機制，曝險程度又大為提高。這也突顯出業界急需一個針對如何建立與實作OT及工控系統資安管理機制的有效指引。

IEC 62443規範IACS安全管理系統 SGS提供全面服務

IEC 62443涵蓋一系列的標準，包括IEC 62443-2-1的IACS安全管理系統、IEC 62443-3-3的系統安全要求與安全等級、IEC 62443-2-4的IACS服務供應商的安全計畫要求、IEC 62443-4-1的安全產品開發生命週期，以及IEC 62443-4-2的IACS元件的技術要求…等，正好可以適度因應OT及工控系統資安指引與方法不足的挑戰。

SGS運用在台灣累積超過68年的管理系統驗證經驗，率先就下述三項標準提出對應的規畫與服務，期望全力協助我們的客戶在面對OT設備/系統及工控系統的資安風險時，可以提早做好準備。

IEC 62443-2-1規範建立IACS安全管理系統，規範PDCA（Plan、Do、Action、Check）的CSMS（Cyber Security Management System），先進行風險分析，再進行風險應對，然後進行監督、改善，其中涵蓋3大類別、3個元件群組、19個元件、127項要求，必須先進行全景分析，以了解IACS於各組織的角色與特性，先識別出IACS設備、建立網路架構圖、識別並建立系統風險優先順序、執行風險評鑑與風險應對，進而發展出一套持續改善的管理機制。

IEC 62443-3-3則用於規範系統層面的安全要求與安全等級，包含7個基礎要求領域、51個系統安全要求與49個進階安全要求。基礎要求領域包括識別與鑑別控制、使用控制、系統完整性、資料機密性、限制資料流、事件及時回應、資源可用性。在安全等級方面，則依據攻擊手法、資源、技術與動機各分成四級。

IEC 62443-2-4則針對IACS服務供應商規範安全計畫要求，適用於各類型IACS或OT的服務供應商（包括軟體與硬體的建置、安裝、整合與維運），以及持續改善機制、持續評量供應商安全等級。其中涵蓋7個類別、22個主題與123個要求，並依成熟度分成四級。
為了協助客戶盡快符合IEC 62443的規範，SGS提供了一系列關於IEC 62443的相關服務，包括：
IEC 62443條文解析課程
IEC 62443客製化查核
IEC 62443供應鏈查核方案

客製化與供應鏈查核方案，於先期與進行價值訪談以了解與掌握客戶期望和產業設備及系統特性，藉以為客戶量身規劃最適合的查檢項目與流程；同時，於必要時整合SGS豐富的產業經驗與產業專業能力（包含技術檢測、實驗室檢測、法規符合、供應鏈要求符合、神秘客／服務查核…等）；最後，於查核完成後全程參與持續改善流程以確保改善成效。

日期：2020-03-12 出處：主講者 : 劉士弘/SGS驗證及企業優化事業群ISO 27001 產品經理

[職場通訊隱私]主管可以看我的E ...

前一個