資安人日前舉辦高雄製造業零信任資安論壇,以「零信任加值競爭力,製造韌性不斷鏈」為題,邀請政府、廠商代表,從產官學合作、物聯網時代產線資安防護與工控資安困境等方面,探討IT與OT資安防禦的關鍵要點。這次的活動特別由中華民國資訊安全學會協辦,並獲得中華資安國際與TXOne Networks支持。
中華民國資訊安全學會理事長范俊逸於開場表示,資安是近年來製造業在數位轉型上較令人關注的議題,無論是勒索軟體、供應鏈安全等。希望與會人士透過論壇交換意見,讓大眾了解「資安是大家的事」。
資安查核的盲點
高雄市政府資訊中心主任劉俊傑,向與會人士分享「產官學合作模式推動資安稽核、管考與評鑑」。
他指出,企業機關發生資安事件,除個資法明定直接罰則外,無法估計的是商譽遭受的間接損失。資安最終核心是人人擁有資安自覺,但這方面難以掌控,目前比較成熟的是在制度增上透過進行資安稽核管考與評鑑,了解各單位資安風險層級。
劉俊傑說,業界普遍運用的「目標管理PDCA」四階段(Plan規劃、Do執行、Check查核和Action行動)中,盲點是C階段,意即儘管透過委外公司進行稽查,但無法落實查核。沒有落實查核就沒有之後的行動。
他舉例,國防演練中規定盤點漏洞,遭受攻擊從通報到修補的SOP演習等,但各局處是否真正落實,他們無法查核。此外大部分接任政府委託大案子的承包商會部分外包,這些委外機構都有資安隱患。再加上中央希望脫離大陸產品的環境,但各局處實際操作如何,也無法一一稽核。
劉俊傑說,若計算所有相關的稽核工作,市府一年要稽核500多場,擴大稽核能量是在必行。目前高雄市政府請委外稽核公司擔任教練,替市府員工進行稽核培訓,且利用一致性稽核檢查表,務求所有稽核員標準一致。
接下來高雄市府將邀請業界、學界人才加入,培養更多稽核人才,增加稽核能量。在學學生還可從產官學合作中實際參與稽核,畢業後順利上手,企業也能培養更多在地即戰力。
OT場域「體質較弱」橫向擴散快
談及「物聯網時代的產線資安防護策略」,中華資安國際副總王信富表示,論資安防禦概念,IT與OT是雷同的,只是成熟度不同。過去OT屬於封閉隔離狀態,但智慧化轉型後,OT設備衍伸出連網的安全風險。他指出,OT系統相對單純,很難有大幅度變化,更易建立基準線,因此可用是否偏離基準線發現問題所在,進行監控。
當前許多產線用5G專網,然5G專網有其資安風險。王信富指出,5G面臨的威脅,包括未經授權或偽造行動終端進行設備存取;整體活動缺乏可視性,及公眾網路上的威脅。防禦上可透過協定有效鑑別偽造設備,在導入5G專網時,進行資安風險識別防禦等。
王信富說,現在很多產業意識到OT場域資安,但很多公司目前僅在「知道要注意」階段,要說服董事會花錢是另一回事。他說,製造產業最害怕產線受影響,駭客正以此為弱點進行攻擊,OT場域通常「體質較弱」,一旦受攻擊,橫向擴散快速。
要進行OT場域資安,首先要導入OT資安健診,協助進行資產、通訊架構盤查,建立OT場域可視性。盤查中會知道有很多過去不知道的設備,處在不安全的環境下。待盤查後,再針對重要資產進行的相關保護控制,導入OT威脅偵測方案,對設備進行優化。
王信富說,目前OT健診中發現很多場域有遠端存取情況,他建議在OT場域中建立跳板機,前端利用零信任方式識別存取跳板機使用者。
94% OT資安事件由IT事件影響
TXOne Networks全球商業賦能暨大中華區業務副總裁李育全,向與會者分享「資安不得,數位轉型雖勝有殃-工控資安的困境與致勝之道」。
李育全說,全球有四成CEO認為,企業做不好數位轉型,十年內將無法生存。企業資訊長(CIO)在整個數位轉型過程增加的首要投資計畫便是資安。
他說,數位轉型包含優化或徹底轉型。徹底轉型意味真正顛覆工廠,重新引全新機器進行數位化,這部分比較困難,優化相對較易。
提及OT資安可能面對的問題,李育全提出五點。首先是新型態威脅,包括「拿錢去買服務進行勒索」等,供應鏈攻擊型態也崛起。第二是地緣政治關係,台灣在地緣政治緊張情況下,受到的攻擊次數是其他國家無法想像。
第三是附帶損失順便的攻擊。他說,通常駭客目標是瞄準IT,「OT是順便淪陷」,當前看到的OT事件,94%是由IT事件影響,連帶造成製造業出現重大損失。
接著是不完整的網路架構。李育全說,目前看到的OT場域,很多是「數以萬計Windows 2000老舊電腦,無法安裝防毒軟體」,數以萬計機台連在一個扁平網路架構,「一台中標,無人倖免」。此外,許多工控系統安全事件多來自新的資產,這部份資安問題也須考量。
最後是資安人才缺少,最好是找到有IT思維,又能利用OT專用方法進行資安管控。
在提升公共資安威脅上,李育全說,OT的影響會比想像中大,企業不要認為利用實體隔離可阻擋威脅。此外,雖然用IT思維保護OT是好的思維,但不一定有用,機台需安裝防毒軟體。
活動最後進行關鍵對談,由范俊逸主持,中冠資訊資安長陳信杰、聚和國際股份有限公司資安長王邦晙、王信富與李育全,針對資安對於製造業韌性的重要性以及製造業如何建立資安韌性等方向進行座談。
陳信杰說,製造業出現資安問題恐使業務停滯,一旦生產線停擺,有些製作中的產品會因此報廢。機台無法即刻復工,再加上商譽受損,整體損失會相當嚴重。王邦晙也表示,駭客無所不在,對無法配置那麼多資安人員的中小製造業來說,除要有面對資安問題快速緊急應變措施外,公司也需加強最後一道「備份」防線,且平時需加強演練,發生攻擊時才有快速復原能力。