首頁 > 焦點新聞

[專訪]工控系統面臨數位轉型 工業物聯網資安風險日增

作者:編輯部 -2019 / 10 / 30 列印 加入我的最愛 分享 將這篇文章分享到 Plurk 噗浪
當聽到工控系統遭遇到駭客攻擊時,這類資安威脅感覺似乎離我們非常遙遠,但自從工控資安事件在台灣落地之後,大家才驚覺工控資安的威脅已經兵臨城下,可能產生巨大損失、甚至影響人身安全,是企業必須重視的議題。
 
IT與OT結合 帶入資安威脅?!
工業4.0成為製造業追求的方向之後,以往封閉式的工控環境也慢慢開始走向開放式,與網路的連接頻率也提高,這讓工控設備成為駭客覬覦攻擊的目標。中華資安國際副總經理游峯鵬表示,工控環境重視的是生產效率、工安及環安,對資安重視的程度相對比較薄弱,直到台灣發生工控環境遭受勒索病毒威脅的資安事件,導致企業遭受到嚴重金額損失之後,大家才警覺到原來工控資安事件已經在台灣落地,工業控制系統的資訊安全是企業不可忽視的問題。
 
工業控制系統正面臨數位轉型的過渡階段,從用來分析工業控制系統架構的普渡(Purdue)模型可以看到,其中Level 0屬於機器手臂、自動車等工控設備,Level 1則是由一群PLC、DCS或RTU等控制器組成,也就是控制網路,控制器會接收來自於Level 2中工業用人機介面HMI(Human-Machine Interface)的指令,Level 3則是工廠機房中的核心路由器、防火牆、工程師工作站(EWS)、歷程資料伺服器(Historian)等設備,Level 4-5則是從遠端企業總部連接到工控系統的機器。其中的Level 0-3稱之為OT(Operation Technology),Level 4-5一般則稱之為IT(Information Technology)。
 
游峯鵬表示,從普渡模型可以看出,當OT與IT相結合之後,Level 4-5的IT環境中的ERP、檔案伺服器等系統若遭受網路攻擊,威脅長驅直入也會連帶影響到Level 0-3的OT環境,並且在行動裝置普及化、物聯網應用進入工控環境之後,讓駭客入侵的管道更加多元,此外,來自操作人員、供應商所帶進來的資安威脅缺口也不容忽視,OT環境想要降低資安風險,必須更重視SOP的落實, 並可參考國際工業控制安全標準(如NIST SP 800-82或ISA/IEC 62443)建立工控環境安全框架,來確保工控系統的安全性。



想要落實工控環境的資安防護,必須先從資產盤點與風險評估著手,游峯鵬誠心的表示建議,現在的工控設備相當多元,加上企業因應工業4.0與數位轉型時工業物聯網裝置的加入,使得工控環境中的資產盤點與評估工作變得更為複雜。企業工控環境要做好資安,應該從管理、技術、訓練三大構面來進行,管理制度是最重要的部分,沒有組織人員、流程、工具是不可能把資安防護做好的,即便有了管理制度,還需檢視能否落實管理?能否有效建立技術防護能力?技術是指組織建立資產設備的可視性,確實掌握資產的所在位      置與連線狀態,確保沒有「幽靈資產」存在,定期對工控環境做資安健檢,並建立偵測監控、緊急應變、鑑識復原的技術框架及能力,找出漏洞以及不正常的網路活動,才能夠做好隔離、管控、告警等資安工作。而訓練則是有鑒於『人』經常是組織資安防護的最大缺口,透過定期訓練可以提高資安認知,強化資安技能,有效提高資安防護能力。
1
推薦此文章
2
人推薦此新聞
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字

你或許會對這些文章有興趣…