• 晶片資安第一站

落實工控網路安全標準,大步邁向工業4.0

口述:立德技術經理 李培寧/整理:曾華銳

  • 為什麼企業需要資安標準?

過去我們在業界看到的情況就是,大多數企業、組織的防護方案都側重於技術面。問題是,一封足夠精緻的釣魚信件就有可能繞過這一切的監控阻攔。因此,網路安全並不能單靠技術解決。再者,如果沒有一個好的程序,企業沒有辦法確認這些技術面/安全機制是否都有確切執行;至於人的部分,如果他們如果沒有相對應的知識,他們也沒有辦法提升網路安全水準。

因此,如果用「木桶理論」來比喻的話,要做好資安,我們可以歸類出三個重點:首先就是技術面,再來是程序面,最後就是人。這三件事情決定了「資安」這個水桶它能裝多少水。而透過標準,我們用有效率而且正規的做法,透過量化的方式找到自己在哪一方面的能力有所欠缺。

  • 全球資安法規規範趨勢

目前各國都相繼推出了各式資安相關法規,特別是在關鍵基礎設施領域更是如此。雖然不同地區的資安法規略有差異,但核心精神基本上可以歸納成以下幾點:

第一個,各國希望不管是資產擁有者、產品供給者 ,或者是系統整合商,都能夠管理好本身應該承擔的資安責任與相對應的風險。再來各國希望在產品服務的設計階段,就把資安因素納入考量。第三,各國希望在資安事件發生的時候,能夠有相對應的組織、回應的機制,以及預防性的計畫。第四個重點就是,不管是 IoT 產品或是 OT產品,製造商都能針對裡面的軟體提供安全更新。最後,目前法規開始要求製造商提供產品出現了它們會要求你的產品裡面使用的 SBoM 。

  • 法律帶來的產業衝擊

當法律規範納入資安因素,勢必衝擊各企業日常營運。首先,以往的設備維運可能不用考量太多網路安全因素;然而,現在除了加入相關作業流程之外,政府機關也開始要求上市櫃公司設置資安長這樣的角色。而依據 UNECE 的報告與白宮的執行命令,進而衍生出兩個相關的資安標準:IEC 62443 跟 ISO 5230。

此外,對於外部供應商來說,也會受到一些影響。過去在沒有考量資安因素的時候,外部採購所考量的第一要素是價格;如今,資安因素將會在外部供應商的評量佔據一定的份量。

  • IEC 62443 與 ISO 5230 簡介

IEC 62443 共分為四個段落:術語定義、系統安全維運方針、安全系統布建與安全產品製造。而在這四個段落之外,IEC 62443 也可以用四種不同的角度來檢視,分別是:資產擁有者(對應系統安全維運方針)、系統整合商(對應安全系統布建)、產品供應商(對應安全產品製造)與維運服務提供者(對應除了術語定義之外的所有段落)。

另一方面,在 ISO 5230 的部分核心重點就是開源政策(Open Source Policy)與開源貢獻政策(Open Source Contribution Policy)。同時,企業組織應重新審視內部所使用的開源軟體;發行軟體之前,也需要有相應的貢獻流程。在人與技術方面,則是需要教育訓練與執照確認。

  • 總結

一個標準大致可以分為「程序能力的標準」與「技術能力的標準」兩個部分。前者要求企業組織調整、改善作業程序,以符合安全需求;後者則是驗證安全技術是否能夠確切運作,以維護系統不受侵擾。

用蓋房子來比喻的話,安全流程的能力就像是蓋地基,它必須要花比較長的時間去建構基礎。一旦流程足夠完善,技術性的標準在實施的時候就會相對容易。反過來說,如果流程能力不夠扎實的話,那很有可能技術標準的建立就會產生問題。

Share:
This site is registered on wpml.org as a development site.