(圖片來源:Science in HD on Unsplash

【為什麼我們挑選這篇新聞】近期許多科技大廠接連遭駭客攻擊,引起業界重視。隨著智慧製造逐漸普及,工廠物聯網觸及的範圍也越來越廣,然而在連網的同時,也成為駭客入侵的資安破口。然而要工廠 OT 導入新的 IT 解決方案並不容易,如何才能無痛升級呢?(責任編輯:呂威逸)

因遠距應用、管理優化等需求產生,依美國系統與網路安全協會(SANS Institute)的報告顯示,已有 72% 的工業物聯網應用透過 IP 為通訊基礎。然而,在聯網越來越普及的情況之下,有 79% 的企業主對於掌握工業物聯網設備的資安缺乏信心,資安問題已然成為工業物聯網營運模式下的重要挑戰。

保護網路安全的資安,在工廠反而被視為不穩定因子?

當深入探討工業網路演進至今的狀態時,將發現工業場域過去主要訴求「能精確控制的工業設備」、「有效傳輸的工業通訊」、「簡單省事的架構設計」與「首重可用且不能停機」的情況下,資安防護在設計階段往往因導入前需要較多的討論與資源,導入後需要更新維護、或防護與補丁被視為系統不穩定因子,而無法被完善的納入設計計畫中。

另一部分的現象是,業主想要自行發展出自家獨有的資安配置,期望帶來防護,或是讓攻擊者找不到弱點突破。然而未受時間或市場檢驗的資安配置有其盲點,一方面無法真正保障網路資安安全程度,另一方面一旦遭受突破,不容易以組織架構好的系統性方式尋求或參考外部資源進行改善。

參考國際電工委員會原則,從系統架構到技術要求都定義規範

實際上,在 2002 年國際自動化學會(ISA)發布的 ISA-99 文件中,針對從事自動化營運的企業,即提出一套防堵網路安全威脅的指導原則。當時的網路安全議題並不像現在這麼熱門。ISA 的文件與國際電工委員會(IEC)常用的文件交相呼應,目前 IEC-62443 標準包含一系列的標準、報告和其他相關文件,以便明確定義透過電子方式保護工業自動化控制系統(IACS)的程序。藉由遵循制定已久的 IEC-62443 標準準則,減少網路破口,進而降低網路遭受攻擊的機會。

IEC-62443 包含四個部分,其中 IEC-62443-1 定義系統架構和用語;IEC-62443-2 定義如何建立資安管理系統,包含組織、人員、流程;IEC-62443-3 定義如何建置工業系統資安,涵蓋建構安全網路、資安技術導入;IEC-62443-4 屬於組件層定義,制定產品供應商必須符合的產品開發要求、產品技術要求,如 Moxa 便是全台首家通過 IEC-62443-4-1 認證的業者。

工業自動化與控制系統概述 (圖片來源:四零四科技)

工廠資安大不同,專家建議:參考準則才能無痛提升防禦能力

有鑒於設計工業網路架構時的特性與要求不同於企業端網路,強化資安的手法也將需要涵蓋不影響製造系統可用性的考量。 Moxa 建議參考 IEC-62443 進行系統性的規劃,首先提升工業網路資安等級,強化網路各個環節,譬如啟用交換機資安防護功能,或依網路架構現況導入安全路由器及工業用 IPS 等等作法,避開更動現有 SCADA 、 PLC 等網路系統或設備參數導致影響現場運作的疑慮,無痛且立刻提升工業現場網路的資安防禦等級。

(本文訊息由 Moxa 提供,內文與標題經 TechOrange 修訂後刊登。新聞稿 / 產品訊息提供,可寄至:[email protected],經編輯檯審核並評估合宜性後再行刊登。本文提供合作夥伴轉載。)

你可能有興趣