臺灣身為 OEM/ODM 代工大國,為國內外產業指標大廠之重要供應鏈,乘著數位轉型腳步來提升產能與品質之際,工廠設備、系統開始連上網路,也同步開啟物聯網情境下的資安潛在風險。然而企業資安的發展程度並未跟上腳步,多數製造業都是資安入門生,缺乏資安意識,或是對資安有認知卻不曉得資安如何下手,連基本資通安全流程或管理規章都不具備,極易遭受攻擊;僅5%的企業具備標準作業流程與企業規章,符合如ISO 27001 國際資安標準,但仍難擋進階持續性滲透駭客攻擊(APT)。
聚焦在台灣製造業推動資通安全相關業務的阻力與困難,工研院統計國內200 人以上的製造業結果,前三大挑戰分別是內部技術能量不足(41.2%)、公司對於資安投資報酬率缺乏了解(40.0%)、內部員工缺乏資安意識(33.8%)等。
以往製造業重視生產線產能,設備/產線人員數較高,相關資訊/資管人員數則很少,甚至身兼資安人員職責,在人力與能力都缺乏之下更不會有專責的資安團隊來維運公司資安治理,且企業對於資安佈署高達八成以上僅以防火牆、端點安全防護為主,約六成有加以佈署安全郵件閘道,多數企業其他資安產品幾乎不考慮,資安防禦能量當然不足;另外資安投資的回報往往無法量化,公司老闆經常性詢問提案採購的資安設備或解決方案可以增加多少資安防護力,IT 部門乃至配合的資安設備供應商幾乎都無法提出讓公司老闆滿意的答案,對資安投資報酬率的缺乏了解,造成每年資安預算編列皆會被砍。
三大製造業資安需求
製造業的資安問題與需求盤點分析為下列三類:
- 跨廠區管理需求
高科技製造業(如:半導體晶圓製造、高科技面板廠)相較於多數製造業實屬資安優等生,對於資安能量的防禦部署投入更多及更完善,每年千萬元等級以上的資安預算規劃。然而防護面向太大沒有百分之百的絕對安全,仍然會有被攻擊的可能性。這類產業的共通樣態是製造工廠遍及北中南各廠區甚至跨國廠區,設備多且產線複雜、自動化程度高且設備連網,由於製造工廠建造與營運多年、廠區新舊產線混用,需要防護管理的設備機台數量繁多,眾多設備資訊量僅靠人力監管、應變、分析而沒有足夠自動化工具/機制輔助,一旦發生資安事件,從問題被偵查發現,到根因識別排除,到應變處置恢復,恐需要花費相當可觀的時間造成公司營運影響層面極廣。
故面對跨廠區管理需求的企業,高度資產可視化、網路資訊行為可視化等是協助資安人員/高階長官快速發現、掌控、應變、排除事件的不二法門。
- 設備連網遠端連線需求
臺灣身為 ODM/OEM 代工大國、國際大產供應鏈重要角色,為持續爭取大廠客戶訂單,製造業迎向數位轉型設備機台連上網路是勢在必行,但面對產業轉型資安腳步卻跟不上,資安防護不知道該如何下手,對員工的資安教育訓練與資安人員的投資,或是對資安事件的應變處置計畫也都欠缺。
2018 年台積電產線資安事件因為人員疏失未遵守標準SOP 進行新機上線前隔離掃毒,造成產線停擺損失高達50 多億元,即便是高科技大廠也有因人員資安意識不足而引起的資安風險;就算是工廠實體隔離,利用USB 進行 IT 與OT 間的資訊交換仍是常態,廠內受感染的行動可攜式裝置依然潛藏資安危機。
臺廠在國際市場趨勢下逐漸接受到大廠客戶稽核管理要求,為了生產營運的品質管理,需開啟遠端連線讓客戶可即時審視產能品質狀況,且因為疫情影響及未來趨勢所趨,開始需要開啟遠端連線讓供應商調校機台參數或維護,甚至公司員工/主管需遠端登入系統進行操控,此時智慧工廠門戶大開不再只是過往實體隔離就可進行全面控管的局面,資安風險會大幅提升。
為爭取客戶訂單並建立安心品牌形象,面對資安更需嚴正以待,需由內而外全面檢視網路系統架構與部署資安防護堡壘。
- IT/OT 混合環境下 OT 資安解決方案需求
隨著智慧工廠、工業4.0 概念崛起,自動化設備有了與過去截然不同的改變,過去的自動化設備多為獨立運作,而現今因應智慧化生產管理、設備即時監測等多元需求,各類廠房環境大量進行雲端與實體設備間的虛實整合,產線各環節運作透過連網而互通,工廠內佈建超過 50%具備 IP 功能的設備,帶來極大的便利性,同時卻也帶來更多資安攻擊之突破口。
產業端的資訊技術(IT)和營運技術(OT)已逐漸融合,實體隔離早已不敷使用,且 IT 與OT 混合讓資安管理更不易,面對工控領域的特殊需求使用公開或私有通訊協定,使得工廠潛在風險大增,但現有 IT 資安解決方案並無法完全適用於 OT 環境,故在不影響生產線營運與品質確保的情況下需發展 OT 環境所需的創新資安解決方案,以即時偵測、防護與應變於工控環境中的資安問題。
本文節錄自經濟部工業局《供應鏈資訊安全管理強化教戰守則》https://www.acw.org.tw/
【2022 OT工控資安年會】探討如何阻斷勒索軟體及其他對關鍵基礎設施、製造業的攻擊!
3大議程重點:
- 工控資安的困境與捷徑
- 從實際勒索攻擊事件看IT/OT融合的資安防禦
- 智慧製造的OT資安管理
日期: 2022年3月24日 (四)
地點: 台北文創 6F ABC會議廳
主辦單位:資安人媒體
|