工業控制(工控)的製程係透過技術驅動,由於技術的複雜性,工控系統與相關軟體與零組件,都可能含有弱點;這些既有弱點,一旦被誤觸或加以不當利用,便會產生威脅。而威脅與弱點結合,則導致風險發生,進而造成人身安全、資訊安全或環境衝擊等事件,包含了:金錢、賠償、人員健康議題、環境保護問題、產量減少或停擺、產品良率減損、業務中斷、監管單位行政處罰、司法單位判刑,以及商譽受損等有形或無形的損失。企業因此必須確保工控製程、廠區管理政策和員工行為的安全管理方案,有效將風險降到最低。
工控場域之資安風險管控要點
風險管控架構
開始進行工控場域風險管控前,工控場域負責人與利害關係人,必須召集納管之工控場域中相關製程的所有員工,揭露將要執行「工控風險管理計畫」,並進行工控場域資安風險管控的宣示與承諾,讓所有人員瞭解此流程的重要性,方能啟始PDCA的架構循環:
- 計畫(Plan):工控場域風險管控的架構設計。
- 執行(Do):依據設計好的架構,實施工控場域風險管控。
- 檢視(Check):工控場域風險管控的監測與審查。
- 改善(Action):持續改進工控場域風險管控的架構設計。
風險管控流程
實務上工控場域負責人及利害關係人與其相關顧問,應進行風險管控需求的溝通與諮商(Plan),並落實工控風險管控的監測與審查(Check)。在溝通與諮商、監測與審查間,應建立相關環節的文件化管理。在監測與審查過程中,皆會產出文件至監測與審查階段。整個PDCA循環期基於工控場域風險管控的架構設計(如下圖所示) 。
工控資產盤點與風險辨識
為界定納管的工控場域範圍,執行資產盤點,風險辨識可透過以下兩種方式進行,加以綜合考量:
- 風險來源方式:進行工控弱點檢測分析,以衡量工控場域之弱點。
- 問題分析方式:進行工控風險預測評估,以衡量工控場域內外部威脅。
- 工控弱點檢測分析
可透過盤點來瞭解工控場域內,有哪些資產需要檢測,分區邏輯圖與網路拓樸圖,是必要的產出;風險來源即是這些資產上的弱點,透過充份、必要的分析與測試,有助於威脅發生前,早日發現弱點,進行相關補償措施,以達成風險控制。
相關檢測要求或測試技術,至少包含:
- 製程弱點分析:例如,廠區與製程災防分析、製程輸入檢查、製程通訊安全性分析、製程員工之電腦與網路行為管控與分析、製程資料流紀錄與分析、製程、系統與設備壓力測試、製程、系統與設備可用性、完整性、機密性分析、製程、系統與設備身分驗證與授權安全性分析。
- 系統與設備之設定檔分析、原始碼弱點分析、電路分析。
- 系統與設備模糊測試。
- 工控場域弱點掃描與滲透測試。
- 工控風險預測評估
- 風險評估的方法相當多元,例如工業自動化與控制系統的風險評估,而採用 IEC 62443-3-2 標準導入是最佳的方案,該標準可適用於工控產品製造商、服務提供商與系統整合商等,且目前已有完整的認驗證制度,企業可以依據需求,取得相對應範圍或類型的國際證書。
- 以風險評估方法論的風險分類來看,可分為「可逆風險」與「不可逆風險」,並加以區分損害強度,以界定風險等級;基於風險等級的評定,會包括基於目標、基於場景、基於分類法等問題分析法,也能結合MITRE ATT&CK矩陣,以評估弱點可及性,得以預測風險發生概率;而量化風險等級的評定,可參考以下公式:
不可逆風險x高損害強度x高發生概率=最高風險等級
- 藉此建立風險矩陣呈現之風險圖表,列出處於風險中的資產、對這些資產的威脅、修改可能增加或減少的風險、確認可容忍的風險與希望避免的後果之因素。某些風險計算模型的公式,甚至會列入風險相關損失成本與風險相關處理時間。
工控風險處理
- 風險監測與對應策略
- 使用安全管理系統(Safety and Security Information Management System, S&SIMS),並導入風險管控標準,例如通用的 ISO 31000、工控安全的 IEC 62443系列、資訊管理系統的ISO 27000系列等標準,與各工業領域其各自的製程安全標準,比如製造醫療器材的企業,就需要導入ISO 13485。
- 製程的設計,具有足夠內部風險控制與風險遏止措施,例如採購合規的工控設備。
- 為製程追蹤風險,定期重新評估風險,辨識正常特徵、可接受的風險,並更新與改善風險緩解措施。
- 落實「對員工的瞭解」(Know Your Employee, KYE),並以強化危害與風險溝通的方針,落實員工教育訓練。
- 定期為「風險緩解措施」進行風險發生的應變演練,例如消防、工安事故等災害演練、資安紅藍隊演練。
- 將部分風險分散到外部機構,例如保險公司、供應鏈企業等。
- 完全避免風險,例如在工控系統使用邏輯與物理上完全獨立,且對物隔離網路與電力系統,並啟用孤島模式。
- 對應潛在風險
相對於容易列管的已知風險,潛在的未知風險較難掌控。某些弱點因不易於早期檢測時發現,需進行長時間研究並投入相當高的技術力,才得以被披露。因此,許多高科技公司透過高額重賞,盼能早日檢測出這些潛在弱點。
事實上,潛在風險是可以進行相關風險管理,在此舉例已知風險案例,藉以理解風險管理的方式:
- 風險規避:汰除與不啟用無法修補弱點、且高可及性的機具設備。
- 降低風險:提高自動化程度,降低人員傷亡的可能性,像是CNC機具就需要提高自動化程度。對於包含弱點的機具設備,使用防火牆、實體上鎖、或孤立等保護措施,降低其可及性。
- 風險分散:供應鏈安全管理、人員健康團保、廠區災難險(水、火、地震等)、場域設備資安險。
- 風險保留:經過風險評估後,由公司自身進行風險承擔。對於可能性與衝擊性相對較小的風險,是可行的應對策略。
- 本文概要的說明工控場域之風險管控的幾個重要環節,但最重要的仍是工業廠區的每一位人員,確實瞭解與落實工控風險管理計畫與其相關重點,才能達到最小化廠區風險的目標。
安華聯網工控安全解決方案
安華聯網的工控安全解決方案,獲IECEE國際電工組織委員會認可為 IEC 62443資安檢測實驗室(CBTL),能提供完整的在地化服務,包含IT與OT的資安合規諮詢、技術支援及產品測試,可協助客戶更快速取得國際認證。此外, ISO 27001的合規與安全評估服務以及工控系統的安全檢測服務,能滿足管理面與技術面的工控資安要求,包括PLC、ICS、SCADA、MES等智慧製造相關之工控元件與系統。同時更提供軟體安全開發諮詢服務與教育訓練,使企業具備軟體安全開發能量並建立工業物聯網相關的資安意識,以因應智慧製造的建置及工業4.0時代的來臨。
本文為投稿文章,不代表社方立場。