資安即國安!資策會協助台灣科技製造業外銷,建立國際級資安防護

資安即國安!資策會協助台灣科技製造業外銷,建立國際級資安防護
Photo Credit:TNL Brand Studio
我們想讓你知道的是

台灣站在科技代工業的關鍵角色,其中工業控制設備製造業多以外銷為主要市場,如果在資安標準上未能符合全球廠區的要求,就有可能被排除在供應鏈之外,失去重要競爭力。

唸給你聽
powered by Cyberon

2007年,伊朗境內的核電廠受到Stuxnet蠕蟲感染,潛伏兩年後才開始作用,攻擊電廠內的高速離心機,事件遲至2010年才爆發出來;2014年,德國煉鋼廠的鼓風爐控制權被駭客入侵,進而造成該工廠遭受巨大損失與破壞;2018年,台積電受到變種WannaCry病毒入侵,2天損失52億台幣。

上述案例都是嚴重的資安危機,尤其這些機構作為國家重要基礎建設、以及龍頭製造業,當受到資安威脅時,所影響的層面不只是單一機構的損失,更對整體社會造成巨大衝擊。

在這樣的環境下,「工控資安」議題更需要台灣重視。資策會資安科技研究所資深工程師黃鼎傑博士說明,傳統思維大多預想工廠是一個封閉網路,對於資料傳輸安全性並沒有較多的設計;但事實上,在2019年已有高達60%工廠內的工業通訊標準都是透過乙太網路傳遞,更別說未來智慧工廠的實踐下,將會產生更大的資安保障需求,如不嚴肅以對,其資安漏洞恐成為國家與社會的一大隱憂。

因此,資策會資安所針對這個問題,特別以OT(Operational Technology)觀點提出工業資訊安全意識,希望能帶領台灣整體正視資安議題的重要性,並將國際資安標準納入企業運作的核心環節,進而帶動資安防護的提升,不僅是自身對外在駭客攻擊的防護,更是提升整體國家競爭力的關鍵。

DSC08673_batch
Photo Credit:TNL Brand Studio
資策會資安科技研究所資深工程師黃鼎傑博士
資安不只是國安,更是經濟力的靠山

在5G、AI、物聯網的出現下,雖為產業帶來商機,卻也同時帶來資安威脅與風險。尤其台灣為科技代工業的關鍵角色,以外銷為主要市場,年產值可達14兆391億元,如果在資安標準上未能符合全球廠區的要求,就有可能被排除在供應鏈之外、失去競爭力。
雖然了解資安對於產業的影響力,但目前的台灣仍面臨下述三個困境:

首先,製造業資安認知較弱,大多數業者不知道為何或如何導入;第二,台灣是ICT產品生產大國,但產品多未具備資安功能,也未符合國際標準規範;第三,資安業者在企業資安解決方案完整,但缺乏支援工控環境,需要跨領域更新發展。

黃鼎傑博士指出,針對以上三個困境,資策會資安所正極力在國內推動觀念,包括由國際自動化學會(ISA)提出並由美國國家標準學會(ANSI)公開頒布的IEC-62443,是目前全球普遍認定的「工業自動化及控制系統」安全標準,該標準提供了OT良好的工程管理指南,針對工業環境下的風險管理提出完整的SOP,並給出完整的防護與資安指標。

針對這套標準,資策會也預計開設相關課程,以供更多製造業企業或OT人員能理解資安控管的觀念。「大企業應該努力讓自己符合這套國際標準,而沒有足夠資源完全投入的中小企業,也應該理解它的觀念,對資安都會有一定的幫助。」黃鼎傑博士說。

從識別到修復,全方位監控廠區資安

黃鼎傑博士進一步以網路安全框架CSF的五個功能作為工控資安的基礎步驟:

  1. 識別(identify)─架設監控系統,每半年至一年應檢測工廠內的控制器(PLC)、監控器(HMI)是否有漏洞或問題。
  2. 防護(protect)─在平時就應針對員工進行教育訓練,增進OT人員對資安的意識;同時也應保持防火牆的隔離,甚至是單向的資料傳輸管道,以確保沒有受外界影響。
  3. 偵測(detect)─必須設有入侵偵測系統,一旦有狀況就能立即反應。
  4. 回應(respond)─分析、並了解問題點在何處。
  5. 復原(recover)─在事件發生後,立刻復原被影響的設備或機台。

在上述五個階段中,最重要的部分就是前三項的前段保護與偵測,但目前市面上僅有少數相關產品,且人員教育訓練的資源更是有所不足。

資安演練:工控資安將成為下個五年重要的議題

為了更進一步讓社會了解工控資安的實際運作模型,資策會資安所打造了一個工控資安測試平臺(Testbed),透過規畫攻擊場景,以惡意命令控制水閥開關,以及偽冒監看數據回應。透過滲透與修補模擬進行演練測試,可幫助國內製造業認識可能的風險,或是進行攻防演習。

DSC08687_batch
Photo Credit:TNL Brand Studio
惡意命令控制水閥開關與偽冒監看數據回應
DSC08692_batch
Photo Credit:TNL Brand Studio
資安攻防演習

走出實驗場域,資安所更針對工控資安研發出一套非侵入式的「工控網路入侵偵測系統」及「SecBuzzer資安智慧分析平台」,透過串接SecBuzzer的資訊,這套入侵偵測系統能從通訊閘道側錄封包的訊息傳遞狀況,並即時分析資料,當有不正常訊息發生,第一時間就能通知管理中心處理有異常的主機,而不會延遲至病毒擴散到一發不可收拾時才被察覺。

目前此項技術已分別與台灣電力公司、台灣自來水公司進行基礎設施場域的防護試驗,透過分析廠區錄好的封包資料,不僅能嚴格控管廠內網路的封閉性,更能實際把關駭客可能潛入工業OT環境的各種攻擊行為,諸如:偵察、惡意命令注入、偽冒回應假數據、DoS癱瘓等。

除了防護系統的研發與應用外,資安所也同時針對OT人員開設「工控攻防演練」及「IEC-62443工業控制安全標準」的教育訓練課程,希望能補足人才缺口,為台灣製造業提供完善的資安服務,以因應工業4.0的轉型需求,並以更高標的資安水準獲取國際客戶的信任。

「智慧製造已是趨勢,業者應該更重視資安對產業造成的影響,而導入與獲得IEC-62443工業控制安全標準的認證,會是重要的一步。」黃鼎傑博士認為,工控資安將成為下個五年重要的議題,企業們應及早投入教育訓練與積極盤點自身狀況,並且往國際認證努力,站上與世界同樣的資安標準。