IEC 62443
數位轉型的美麗與哀愁 重新審視產業流程掌握弱點環節
在製造業場景亦然。當工廠啟動轉型為智慧製造,意味著須具備連網能力,讓資料得以彼此交換學習與統整分析,才會產生出智慧。趨勢科技先進應用市場開發部資深經理鄭朱弘毅觀察,以物聯網為核心衍生出許多新的想法,比如說工業4.0、工業物聯網(IIoT)、智慧物聯網(AIoT)等。當然,之所以能得到製造業的青睞,更重要的關鍵在於發展物聯網應用對於工廠而言為投資,未來可藉由生產力的增長來展現具體價值,自然提升企業的意願。
問題是,資訊科技導入原本封閉的運營技術(OT)環境,勢必會為既有負責IT與OT的人員帶來衝擊。畢竟數位轉型改變既有的商業模式、產品研發、供應鏈及日常維運流程,跨部門協同工作將成常態,須經歷一段時間磨合。尤其是在連網能力成為廠區必要建設時,勢必更須對IT環境中本就已存在的攻擊威脅有所掌握,才能建立因應措施來控管風險。
為了盡可能牟利,駭客組織通常會先評估攻擊成本與效益,並確保後續能複製到不同場域。比較明顯的例子是VPNFilter惡意軟體,在2018年首度出現,藉由已滲透成功的網站伺服器為跳板,感染進入各處的小型路由器,主要目的為竊取使用Mobus通訊協定的SCADA系統憑證,將來可能藉此操縱全球同類型的工控連網裝置。
在數位轉型推動下,應用場域擴及涵蓋既有的IT與OT,需要被保護的範圍變得更大,挑戰也更加嚴峻。畢竟資安防禦的建置不可能無限擴張,須以投資報酬率、資本支出與營運支出評估,分析服務模型、威脅模型、當前挑戰、重要性排序,再考慮可採取的解決方案。
尤其是服務模型的建立,首先要掌握資料流與控制流,若廠區有導入IEC 62443工業通訊網路安全標準,可明確定義產線與控管裝置、監看系統工作流程,經過彙整後的資料系統介接內部IT系統,執行更多製程資料分析。接下來則依據不同作業環境定義分隔區,並且評估弱點環節以建置威脅模型,再建立控管措施降低資安風險。
趨勢科技先進應用市場開發部資深經理鄭朱弘毅建議,各產業對於資安的建置,必須以投資報酬率、資本支出與營運支出來評估。