以往的製造業生產線都屬於封閉型的環境,著重在生產效率的提升,對於資訊安全的要求僅高度鎖定於部份特定環節,但隨著工業4.0、工業物聯網的趨勢發展,產線的OT環境與IT科技逐漸開始融合,這也使得製造業面臨前所未有的資安威脅,想要同時滿足資安管理的要求,又不能影響產線的生產效率,便成為製造業面臨的重大挑戰。專訪SGS台灣檢驗科技股份有限公司驗證及企業優化事業群何星翰經理說: 想要做好IT/OT整合,並做好快速的溝通與協調工作,最好的方法便是遵循標準。
IT/OT融合面臨嚴苛的挑戰
由於製造業與一般企業的營運方向不同,因此對於資訊安全管理的要求與定位也並不一致。SGS台灣檢驗科技股份有限公司驗證及企業優化事業群何星翰部經理表示,製造業著重在生產流程的順利,因為生產是營收的主要來源,因此IT部門在面對OT部門時便相對弱勢,在溝通上也常因為認知上的不同,以及資安意識的不足,導致OT部門的配合意願不高,認為機台是一個封閉的操作環境,通常傾向於不做變動,一切以穩定為主,不希望機台停機進行更新或弱點補強,而影響到生產效率與獲利。事實上,工業控制系統(Industrial Control Systems,ICS)系統中的SCADA(Supervisory Control And Data Acquisition)環境在設計之初,有其特定的通訊協定,且通常有設計有15~20年的生命週期,因此並不容易受到攻擊,但近年來製造業導入智慧製造的概念,讓IT應用融入OT環境,導致OT環境不再封閉,也給了駭客攻擊的機會,例如2015年底的烏克蘭大停電,就是因為發電廠的電力系統遭駭導致。
何星翰表示,在彈性製造概念的推展之下,從WiFi連結到軟體API串接,都讓ICS系統面臨被入侵的風險,雖然可以透過內外網隔離、工業級防火牆、網路節點過濾或是正面表列的方式來進行防堵,但還是需要從管理面、技術面進行監管,才能有效地確保資訊安全,但由於ICS系統通常來自多家廠商,介面各自不同,想要導入工業4.0的概念,便在整合上面臨許多難題,加上IT人員不熟悉生產流程,OT人員也不了解資訊科技,這都讓IT/OT融合面臨許多挑戰。
遵循標準是資訊安全的基礎
想要做好IT/OT整合,並做好快速的溝通與協調工作,最好的方法便是遵循標準。何星翰表示,目前已經有ISO/IEC 27001資訊安全規範與IEC 62443工業控制安全標準,不過目前製造業通過IEC 62443驗證的廠家並不多,但仍應透過內部自評或是邀請如SGS等第三方機構來協助進行差異分析,來預先了解自家廠房與供應鏈之間是否都符合IEC 62443標準,目前國內製造業對資訊安全要求的成熟度仍然不足,仍必須透過改善流程與加強教育訓練來達到安全標準的要求。
對於看得到的實體安全防護,例如門禁管制等是相對容易做到的事項,但對於看不到的網路安全,則往往容易被人所忽略。何星翰表示,目前國內製造業對於實體安全管制要求並不陌生,像是人員進出、USB、手機、平板、筆電等的管制都已經有一套嚴格的標準,但對於存取控制、資料串連、遠端連線等的控管則還需要再加強,必須在硬體與軟體都擁有安全內嵌式(Security Embedded)的思維,才能確保完整的資訊安全防護。
工業物聯網帶來便利也帶來風險
隨著物聯網的快速發展,在工業製造環境中結合物聯網技術的工業物聯網應用也開始快速地發展。何星翰表示,在工業環境中添加物聯網裝置對於生產過程進行監控已經成為趨勢,但這些物聯網裝置也成為駭客攻擊的標的,想要做好工業物聯網的資安管理,在採購之前,便必須從源頭要求這些裝置生產商提供產品安全證明,這些產品必須在研發過程中便開始要求符合安全規範,並檢視產品規格、生產測試過程中是否都符合安全標準,以確保這些產品安全無虞。
何星翰表示,除了針對物聯網裝置的源頭進行採購選擇之外,在安裝了這些物聯網裝置之後,也必須隨時對其進行監控,確保其沒有發生異常的行為,如有則需及時加以阻隔,才能確保這些物聯網裝置的安全性。
SGS協助製造業達到完善的資訊安全管理目標
想要做好製造業的資訊安全管理,便需要遵從ISO/IEC 27001資訊安全規範與IEC 62443工業控制安全標準。何星翰表示,SGS能夠協助客戶從教育訓練開始,為員工針對標準的條文進行深入解析,並針對上下游供應商進行查核,並提供檢核報告,最終則可針對ISO/IEC 27001與IEC 62443進行驗證,提供最完整的資訊安全管理檢驗。 何星翰表示,SGS在製造業耕耘多年,製造業客戶非常多,擁有寶貴的實務經驗,加上配置有來自工業4.0發源地德國的工控安全研究專業團隊,對於資訊安全的知識、資格、經驗都相當完整。此外,SGS還有能夠針對設備、產品進行檢測的實驗室,能夠從管理面與生產面進行最全面的檢測,協助製造業達到完善的資訊安全管理目標。
關於SGS
SGS是世界領先及全台最大的測試、驗證、檢驗和查證服務公司,被公認為品質與誠信的標竿。迄今在台服務已 67年,驗證及企業優化事業群於全球取得44國認證登錄,提供國際標準管理系統驗證稽核服務及專業人才培育,瞭解更多資訊,請聯絡我們 tw.CBE.marketing@sgs.com。