在全球數位轉型趨勢下,企業應同時對資訊IT(Information Technology)、整體產業自動化營運OT(Operational Technology)與相關個資保護之資安防護進行整體性規劃。
「因為沒事發生,所以不必花錢防護」是普遍中小製造業的迷思,然而近年來產業自動化系統卻屢遭駭,使電腦「變磚塊」。捷而思董事長吳建東
於資安人舉辦的「2021亞太資安論壇暨展會」中說,大多數製造產業遭駭,多為針對性攻擊,並非讓企業損失金錢,而是讓機台無法運作,甚至在機台上公然下指令,以致產品出錯。
捷而思董事長吳建東為考量製造業安全,從國際資訊安全治理標準ISO 27001與產業自動化資安標準IEC 62443,是兩個稽核關鍵指標與解決方案。
吳建東說明,根據ISO 27001修訂2020年版本,要求各層級資安治理,從單一資安單位負責,提高為整個企業組織共同參與,根據公司政策決定資安方向進行評價考核。
政府針對產業資安推動的IEC 62443標準,是依工控系統風險控管為基準,提升產業資安防護力。包括個人電腦、企業內、外雲端系統、與供應商整合等,均有相關稽核指標。
「IEC 62443概念是工業自動化。」其中,62443-2-1是針對資產擁有者之資安計劃要求。政府還針對工業自動化之資安成熟度進行62443-2-2標準,另外還有工業自動化之修補更新管理、供應商資安計劃要求,和資安擁有者之資安執行指引等(分別納入62443-2-3到62443-2-5)。
相關文章: 捷而思參加亞太資訊安全展會推出TRUST整合服務平台
供應鏈資安近年來政府格外重視。吳建東說,有時公部門委外供應商,在沒加密情況下,有VPN 帳號密碼即可進入公部門網域,「很難管控」,特別是供應商離職員工,即使企業ISO 27001做得很好,也無法掌控供應商員工是否安全。
系統方面指引,則有62443-3-1,針對整個安全度管理,此外還有資安風險評鑑、系統區隔與安全等級(62443-2-3),系統資安要求安全等級(62443-3-3)。
在針對設備組件部分,對應的標準是62443-4-1產品安全研發生命週期管理要求,與自動化組建之資安要求(62443-4-2)。
吳建東說,要保護好工控場域,公司需有資安組織與政策標準流程,做好基本教育訓練,確保網通設備安全。
資安新思維系列報導(一) :「雲」&「端」的資安痛點:邊界模糊,警訊過多,人手不足
資安新思維系列報導(二) : 第六期國家資通安全法:佈建「主動防禦」聯網,躍升亞太資安樞紐
資安新思維系列報導(三) : 金鑰竊取,駭客攻擊的捷徑
資安新思維系列報導(四) : 新世代身份認證思維:多因素、持續性驗證、用戶決定
聚焦製造業的IT/OT資安問題,就在【2021製造業資安論壇- 新竹】。
- 時間: 2021年6月10日
- 地點: 新竹豐邑喜來登大飯店
- 主題: 由內而外,必要的工控資安管理思維
- 3大主題,12場專題演講
- 活動網頁,GO!
|