首頁 > 焦點新聞

[專訪]SGS台灣檢驗科技何星翰 製造業所面臨的資安管理挑戰及趨勢

作者:編輯部 -2019 / 05 / 20 列印 加入我的最愛 分享 將這篇文章分享到 Plurk 噗浪

以往的製造業生產線都屬於封閉型的環境,著重在生產效率的提升,對於資訊安全的要求僅高度鎖定於部份特定環節,但隨著工業4.0、工業物聯網的趨勢發展,產線的OT環境與IT科技逐漸開始融合,這也使得製造業面臨前所未有的資安威脅,想要同時滿足資安管理的要求,又不能影響產線的生產效率,便成為製造業面臨的重大挑戰。專訪SGS台灣檢驗科技股份有限公司驗證及企業優化事業群何星翰經理說: 想要做好IT/OT整合,並做好快速的溝通與協調工作,最好的方法便是遵循標準。

 IT/OT融合面臨嚴苛的挑戰
由於製造業與一般企業的營運方向不同,因此對於資訊安全管理的要求與定位也並不一致。SGS台灣檢驗科技股份有限公司驗證及企業優化事業群何星翰部經理表示,製造業著重在生產流程的順利,因為生產是營收的主要來源,因此IT部門在面對OT部門時便相對弱勢,在溝通上也常因為認知上的不同,以及資安意識的不足,導致OT部門的配合意願不高,認為機台是一個封閉的操作環境,通常傾向於不做變動,一切以穩定為主,不希望機台停機進行更新或弱點補強,而影響到生產效率與獲利。事實上,工業控制系統(Industrial Control Systems,ICS)系統中的SCADA(Supervisory Control And Data Acquisition)環境在設計之初,有其特定的通訊協定,且通常有設計有15~20年的生命週期,因此並不容易受到攻擊,但近年來製造業導入智慧製造的概念,讓IT應用融入OT環境,導致OT環境不再封閉,也給了駭客攻擊的機會,例如2015年底的烏克蘭大停電,就是因為發電廠的電力系統遭駭導致。

何星翰表示,在彈性製造概念的推展之下,從WiFi連結到軟體API串接,都讓ICS系統面臨被入侵的風險,雖然可以透過內外網隔離、工業級防火牆、網路節點過濾或是正面表列的方式來進行防堵,但還是需要從管理面、技術面進行監管,才能有效地確保資訊安全,但由於ICS系統通常來自多家廠商,介面各自不同,想要導入工業4.0的概念,便在整合上面臨許多難題,加上IT人員不熟悉生產流程,OT人員也不了解資訊科技,這都讓IT/OT融合面臨許多挑戰。

遵循標準是資訊安全的基礎
想要做好IT/OT整合,並做好快速的溝通與協調工作,最好的方法便是遵循標準。何星翰表示,目前已經有ISO/IEC 27001資訊安全規範與IEC 62443工業控制安全標準,不過目前製造業通過IEC 62443驗證的廠家並不多,但仍應透過內部自評或是邀請如SGS等第三方機構來協助進行差異分析,來預先了解自家廠房與供應鏈之間是否都符合IEC 62443標準,目前國內製造業對資訊安全要求的成熟度仍然不足,仍必須透過改善流程與加強教育訓練來達到安全標準的要求。

對於看得到的實體安全防護,例如門禁管制等是相對容易做到的事項,但對於看不到的網路安全,則往往容易被人所忽略。何星翰表示,目前國內製造業對於實體安全管制要求並不陌生,像是人員進出、USB、手機、平板、筆電等的管制都已經有一套嚴格的標準,但對於存取控制、資料串連、遠端連線等的控管則還需要再加強,必須在硬體與軟體都擁有安全內嵌式(Security Embedded)的思維,才能確保完整的資訊安全防護。


1
推薦此文章
2
人推薦此新聞
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字

你或許會對這些文章有興趣…