隨著工業自動化和智慧製造的發展,工廠的生產流程和營運資料都逐漸數位化,因此也面臨了更大的資安威脅,產業界也開始關注OT資安。為了保護工業控制系統(ICS)的安全,國際電工委員會(IEC)制定了 IEC 62443系列標準,為工業自動化系統的安全設計、開發、部署和運維提供了一套內外兼顧的指引。
以往的資安標準都專注在IT領域,像是公司內機房或雲端郵件伺服器。然而,這些經驗與標準無法完全移植到OT資安,因為兩者抱持的理念與面對的情境並不完全相同。
比如說OT系統更注重可用性且設備壽命相當長,因此無法直接使用IT資安的控管方式。再者,若是IT資安遭遇威脅,通常只會產生經濟後果;OT資安倘若發生事故,則可能影響人員的生命安全,甚至是社會運作。目前IEC 62443相對來說,是一個相對完整的標準,除了系統技術之外,它還包含了對於流程與人員的管理面要求,共分為四個部分:
.IEC 62443 part 1:術語定義
.IEC 62443 part 2:系統安全維運方針
.IEC 62443 part 3:安全系統布建
.IEC 62443 part 4:安全產品製造
而在這四個段落之外,IEC 62443也可以用四種不同的角度來檢視,分別是:資產擁有者(對應系統安全維運方針)、系統整合商(對應安全系統布建)、產品供應商(對應安全產品製造)與維運服務提供者(對應除了術語定義之外的所有段落)。其中,IEC 62443-2-4和IEC 62443-4-2是整套資安標準中兩個重要可取證的安全要求,分別針對服務提供商和設備製造商提出了相關資安要求。
IEC 62443-2-4要求服務提供商建立一套全面的安全計畫,涵蓋了人員、流程、技術等方面的安全要求。有點像是內功心法,該標準旨在確保服務提供商能夠提供安全的工業自動化解決方案,保護業主的資產和OT環境。
在整個智慧製造場域中,除了場域的政策流程資安要求外,整體工業物聯網供應鏈中的設備製造商也逐步被要求符合IEC 62443-4-2的產品資安要求,在IEC 62443-4-2當中有7個基本的要求(fundamental requirement, FR),FR1是識別和鑑別控制、FR2是使用控制、FR3是系統完整性、FR4是資料的保密性、FR5是限制資料流、FR6是對於事件的即時反應、FR7是資源的可用性。包括識別和鑑別控制、使用控制、系統完整性、資料的保密性、限制資料流、對於事件的即時反應、資源的可用性等。
該標準旨在確保設備元件本身能夠抵禦外在各種安全攻擊。Bureau Veritas目前是全球IEC 62443認驗證服務的領導者,許多合作夥伴皆是從開發源頭就將資安納入設計中(Secure by design),實做一系列可全面保護IIoT資料和基礎設施的安全軟硬體功能。
在IEC 62443-2-4與IEC 62443-4-2雙標準的相互配合下,可以為工業自動化智慧製造場域提供更全面的安全保障。簡單來說,IEC 62443標準大致可以分為「程序能力的標準」與「技術能力的標準」兩個部分。前者要求企業組織調整、改善作業程序,以符合安全需求,例如IEC 62443-2-4就在強調服務提供商的安全責任;後者則是驗證安全技術是否能夠確切運作,以維護系統不受侵擾,例如IEC 62443-4-2就是針對設備與產品本身提出了技術要求。兩者相輔相成,可以有效降低工業自動化場域的安全風險。Bureau Veritas資安認證團隊也呼籲工業自動化和智慧製造場域的業者們,應採取措施強化其系統的安全性,以抵禦日益嚴峻的資安威脅。
用蓋房子來比喻的話,安全流程的能力就像是蓋地基,它必須要花比較長的時間去建構基礎。一旦流程足夠完善,技術性的標準在實施的時候就會相對容易。反過來說,如果流程能力不夠扎實的話,那很有可能技術標準的建立就會產生問題。Bureau Veritas是OT資安認證領域的最佳夥伴,Bureau Veritas團隊在IEC 62443的程序能力和技術能力皆有實績,並可結合集團中各式的認驗證能量,提供客戶省時省心的一站式認驗證服務。