[專訪]工控系統面臨數位轉型工業物聯網資安風險日增

2019 / 10 / 30

編輯部

當聽到工控系統遭遇到駭客攻擊時，這類資安威脅感覺似乎離我們非常遙遠，但自從工控資安事件在台灣落地之後，大家才驚覺工控資安的威脅已經兵臨城下，可能產生巨大損失、甚至影響人身安全，是企業必須重視的議題。

IT與OT結合　帶入資安威脅?!
工業4.0成為製造業追求的方向之後，以往封閉式的工控環境也慢慢開始走向開放式，與網路的連接頻率也提高，這讓工控設備成為駭客覬覦攻擊的目標。中華資安國際副總經理游峯鵬表示，工控環境重視的是生產效率、工安及環安，對資安重視的程度相對比較薄弱，直到台灣發生工控環境遭受勒索病毒威脅的資安事件，導致企業遭受到嚴重金額損失之後，大家才警覺到原來工控資安事件已經在台灣落地，工業控制系統的資訊安全是企業不可忽視的問題。

工業控制系統正面臨數位轉型的過渡階段，從用來分析工業控制系統架構的普渡（Purdue）模型可以看到，其中Level 0屬於機器手臂、自動車等工控設備，Level 1則是由一群PLC、DCS或RTU等控制器組成，也就是控制網路，控制器會接收來自於Level 2中工業用人機介面HMI（Human-Machine Interface）的指令，Level 3則是工廠機房中的核心路由器、防火牆、工程師工作站（EWS）、歷程資料伺服器（Historian）等設備，Level 4-5則是從遠端企業總部連接到工控系統的機器。其中的Level 0-3稱之為OT（Operation Technology），Level 4-5一般則稱之為IT（Information Technology）。

游峯鵬表示，從普渡模型可以看出，當OT與IT相結合之後，Level 4-5的IT環境中的ERP、檔案伺服器等系統若遭受網路攻擊，威脅長驅直入也會連帶影響到Level 0-3的OT環境，並且在行動裝置普及化、物聯網應用進入工控環境之後，讓駭客入侵的管道更加多元，此外，來自操作人員、供應商所帶進來的資安威脅缺口也不容忽視，OT環境想要降低資安風險，必須更重視SOP的落實，並可參考國際工業控制安全標準（如NIST SP 800-82或ISA/IEC 62443）建立工控環境安全框架，來確保工控系統的安全性。

想要落實工控環境的資安防護，必須先從資產盤點與風險評估著手，游峯鵬誠心的表示建議，現在的工控設備相當多元，加上企業因應工業4.0與數位轉型時工業物聯網裝置的加入，使得工控環境中的資產盤點與評估工作變得更為複雜。企業工控環境要做好資安，應該從管理、技術、訓練三大構面來進行，管理制度是最重要的部分，沒有組織人員、流程、工具是不可能把資安防護做好的，即便有了管理制度，還需檢視能否落實管理？能否有效建立技術防護能力？技術是指組織建立資產設備的可視性，確實掌握資產的所在位置與連線狀態，確保沒有「幽靈資產」存在，定期對工控環境做資安健檢，並建立偵測監控、緊急應變、鑑識復原的技術框架及能力，找出漏洞以及不正常的網路活動，才能夠做好隔離、管控、告警等資安工作。而訓練則是有鑒於『人』經常是組織資安防護的最大缺口，透過定期訓練可以提高資安認知，強化資安技能，有效提高資安防護能力。豐富的政府專案經驗奠定專業資安服務角色
中華資安國際提供客戶完整的IT與OT資安解決方案，舉凡事前資安防護與檢測、事中資安監控與管理、事後緊急應變與鑑識，以及資安顧問等服務。

對於OT環境資安服務，中華資安國際除提供風險評估顧問服務，也提供資安健檢與監控服務，因為OT環境非常重視可用性，因此在進行資安導入時，為了不能影響其運作，會先以被動方式用「聽」的來進行，也就是利用收集網路活動資料進行分析，包含建立資產、網路連線、正常行為基準線(baseline)的可視性，以進行隔離性檢測、偏離基準異常檢測、網路惡意活動檢視等，並協助建立OT-SOC（Security Operation Center，資訊安全監控中心），對異常行為提出告警，進行實質的7x24監控工作。中華資安國際除了參與政府油、水、電工程專案的資安健檢與風險評估工作，協助政府從公共設施OT場域環境中找出資安風險，也協助智慧醫療、智慧機械環境資安的健檢與監控機制的部署，這種應用牽涉到隱私權與醫療風險，資安議題顯得更為重要。

最後，游峯鵬副總經理強調，資安設備、軟體只是工具，最重要的還是專業知識與經驗，中華資安國際對於IT與OT都擁有豐富的領域專業知識，獲得許多資安比賽大獎並且協助客戶面對艱難的資安威脅。對於未來看好的5G網路發展，智慧城市、車聯網、智慧工廠等IoT及IIoT的應用即將起飛，中華資安國際也正在積極布局，將在未來更為嚴峻的網路世界，自我期許可以成為更進一步的專業資安服務廠商的角色。