文章提供：图文资通组
文章来源：https://www.ithome.com.tw/news/140100
发佈日期：2020.09.24 消息来源：iThome

在数位转型的风潮之下，为了因应各种资料交换与分析的需求，IT（资讯科技）与OT（营运科技）环境的融合已成必然的趋势，但这也打破了过往OT环境的网路实体隔离，减少保护，再加上OT环境的设备往往採用相对老旧的作业系统平臺，不仅存在许多漏洞，也因为需要持续运作，即使有对应的修补程式与软体、韧体的更新版本，也不易找到合适的空档来套用，结果导致OT环境面临极大的资安风险。
而在今年的臺湾资安大会的OT安全论坛当中，资诚（PwC）智能风险管理谘询公司风险及控制执行董事张晋瑞，也针对上述这样的防护实作困境，提出建议，他认为，可透过资安认证与框架的导入，持续落实与强化工控系统安全。

工控系统的资安问题，来自外部威胁、政府管制及内部风险
工业控制系统（ICS）或OT相关的网路威胁，已经是真实发生的事件，张晋瑞举出一些实例来证明。回顾过去这十多年，全球各地已陆续发生相关的重大资安事故，像是：2008年土耳其输油管线被攻击，2010年伊朗核电厂遭到Stuxnet恶意程式攻击，2015年乌克兰因恶意程式攻击发电厂的SCADA系统，而发生大停电，以至2018年WannaCry勒索软体攻击臺湾半导体公司，到了今年，也出现攻击废水处理设施的事件。
而在设备制造商的部份，政府也开始祭出铁腕，对于没有做好产品安全的业者提出法律控告，例如，美国联邦交易委员会就针对网路设备厂商发起诉讼，去年7月达成和解，但条件是导入软体安全防护计画，确保他们生产的无线网路路由器和网路摄影机是安全的。
另一个资安风险的议题，是与近期兴起的工业4.0、智能制造的风潮有关，企业必须尽快发展，而厂商的解决方案未实现完整的资安风险控管框架。有企业在完成相关的规画之后找上PwC，请他们帮忙评估安全性，结果发现当中对于这方面并未多做着墨，例如，在设计这类解决方案时，因为想得到效果，对于存取权限提升、变更程序，并无考量安全性的因素。张晋瑞认为，当中可能存在6大风险：未订定资讯安全政策、未订定开发及维护管理标准作业规范、产品存取控制技术老旧（明码处理／未加密）、供应链安全交互关系不清（多个供应商各自该负起的责任）、无资讯安全事故管理机制、没有资安资产盘点管理。
为何工业控制系统安全难管理？张晋瑞认为，可区分为IT和OT，IT是指企业整体资讯治理，而OT是指工业现场资安管理。
对IT而言，会有6大问题，首先，工业控制系统难盘点，因此无法管理（设备位于产线现场，IT人员不知数量、无法即时监控，且正式上线后就未关机，一旦将其关机，后续可能无法重启）；第二，面对智能设备制造现场的网路环境，缺少安全监测防护措施；第三，企业内未设置负责网路安全的专门组织和力量，未制定防护、应急和恢復的预备计画（可能由IT人员兼任、处于人力与资源不足的状态，且不像金融业有相关法律遵循要求）；第四，普遍处于没有任何防护手段的空窗状态；第五，企业不了解的智慧制造系统资产，以及系统如何互联；第六，对于当前的勒索软体危害与安全事件发展趋势和应对策略，缺乏了解。
在OT的部份，也有许多挑战。例如，本身的资安认知不足（过去并未考虑资安防护需求）、不了解物联网与云端资安威胁及需求、内部没有资安组织及合规知识、欠缺资安人力资源规画、对自身资安应变措施一无所知，老旧设备无法更新资安修补程式，而在面对资安需求时，往往也需要供应商协助。

资安治理、IT安全、OT安全要均衡发展，可兼容多种框架
若要全面确保IT与OT整体安全防护，我们可透过资安认证与相关管理框架的导入来持续落实。从企业的角度来看，IT安全已投入许多资源来进行，虽然不同公司的成熟度有别，但至少对这个议题有一定程度的了解，然而，若公司的环境同时存在着OT设备与技术，并不希望顾此失彼，仍须关注相关安全议题，因此，要追求的是企业整体资安治理，并且兼顾IT与OT这两边的防护。
在IT安全的部份，我们对于应用程式、系统如何设计、修改与管理，都较为熟悉，而从制度面来要求时，会透过ISO27001来推动，当中融合资安管理制度与控制技术，至于OT安全的部份，则是遵循IEC62443，并且融合物联网与云端的工业控制系统防护机制。
然而，面对这样不同的资安需求，只能各行其是？张晋瑞说：「我们难道要左边穿一件衣服，右边也穿一件衣服吗？两边的制度还不一样，这很不合理。」因此，要从整个企业资讯安全的角度来考量，此时，我们可以参考NIST Cybersecurity Framework（CSF），透过识别、保护、侦测、回应、復原等面向，来进行资安管理。
而在IT安全的作法上，我们可以运用ISO 27001的管理制度，来评估风险、重要性，再把资源放在较优先处理的部分，这是风险管理的过程；而OT安全的作法上，目前最热门的议题就是关于IEC 62443的标准，它就是针对OT、工控系统的安全规范，而我们可以参考当中的要求来强化防护。
不过，这样的局面可能会让人感到混乱，因为一边要做ISO27001，但另一边要做IEC62443，张晋瑞说，「一家大公司同时穿好几件衣服，很奇怪」，因此，他唿吁我们该思考的是，如何将这些资安规范融合在一起。
针对这样的需求，张晋瑞也用他们为一家制造业控股公司的规画，来说明实际的作法。一般而言，想要实现管理目标，固然有许多面向要考量，但相关的因应作为是可以兼容各种要求，举例来说，IT的部份，我们可能已经导入ISO 27001，而有144个控制项，而在OT的部份，导入IEC 62443，又有一些必须採用的控制手段，甚至我们还可以将道琼永续指数（DJSI）整合进去对应。
如果有些企业需要取得这样的分数，由于DJSI近几年来也开始针对资安层面提出问题，他们会询问企业相关的控管防护程度、是否有所作为，然而，企业若被对方要求揭露这样的资讯，张晋瑞说，难道要为了DJSI重新做一套？事实上，相关作为是一样的，但提报给DJSI的作法是有对应的，而且是能符合当中的特定条款规范，以及提供回覆方式，因此，只需做一次就能因应多种相关的要求，就像「穿一件衣服，就能因应三种不同的场合需求」早上要开会、中午要与客户见面、晚上要参加宴会，都只需要穿着同一套服装，而这也是企业要追求的目标。张晋瑞强调，并不是透过一个个资安框架的导入来达成要求。

了解IEC 62443架构与认证范围，可用来协助资安策略规画
而在IT与OT并存的营运架构下，企业该如何检视与实施资安控管与防护？基本上，我们可区分为5个层级，最顶端是企业管理层，接下来是业务逻辑层，当中有ERP等各种管理系统，也是IT安全过去经常要去强化的部份，再往下是OT的范畴，里面包含了营运管理层（MES）、流程监控层（SCADA）、自动控制层（PLC）、现场设备层（感测器、致动器），而在后三层当中，就有工业控制系统的设备。面对这些层级，该把风险管理的重点摆在哪里？我们必须要有制度规范来找出这些关键。
以IEC 62443而言，分成4个区块。
第1部分（IEC 62443-1系列）是这项标准的概论与通用介绍，包含4种规范。
第2部分（IEC 62443-2系列）是「政策」与「执行程序」，主要规范的对象是业主（Asset Owner），例如，高铁公司想要管理自动控制系统的资安，因此想要推动相关的制度，该公司就是业主，他们就可以选择IEC 62443-2-1，他们需要导入工业自动化与控制系统（Industrial Automation and Control System，IACS）的安全管理系统，而这系统就像ISO 27001的第二管理系统。
张晋瑞说，在规范当中只要提到「Requirement」的部份，都是可验证的（Cross-validation，CV）、验证公司可发证书的；而对于提供解决方案的供应商要求，可参考IEC 62443-2-4的规范。
第3部分（IEC 62443-3系列）是针对「系统」。如果业主需採用监控系统，有厂商想要投标、负责这项建置案，那么，厂商遵循的标准，就是这边的规范，因为此部分要求遵循的对象正是系统整合者（System Integrator），该厂商要注意当中的系统安全要求，以及资安等级。张晋瑞也举例说明这边的原则，例如，一般人使用的可能是第一级，企业用的是第二级，军用是第三级，需上到太空的是第四级。而有了这些依据，厂商就可以去规画承包的监控系统。
第4部分（IEC 62443-4系列）是针对「元件」。一家厂商提供的解决方案，未必全部由他们生产、制造，可能会使用到多个元件，像是监视器、硬碟、路由器，厂商再将这些元件组成一整套系统，而元件的供应商可以考量是否遵循相关的OT安全标准。
以IEC 62443-4-2来看，所规范的就是元件本身的产品安全，是否符合技术规格的需求，不过，产品送验时通常都是最佳状态，但验过之后，还是有可能因为受到修改而未能维持高水准，张晋瑞表示，因此，现在的趋势是，验证必须同时涵盖IEC 62443-4-1（安全的软体开发生命週期，SSDLC）。
简而言之，如果你是元件提供商，可考虑IEC 62443-4-1、IEC 62443-4-2；如果你是系统整合厂商，考虑IEC 62443-3-3、IEC 62443-2-4；如果你是业主，要知道如何管理，或要求供应商注意安全，注意IEC 62443-2-1、IEC 62443-2-4；其余的部份（IEC 62443-1）是这项标准的指南，所有人都可以参考。

建立统一的管理制度，将资源放在重要、高风险的部份
关于IT与OT融合，已是企业须面对的挑战，然而，在资安防护的工作推动上，我们该思考的是如何提升效率，而不只是扮演救火的角色，疲于奔命。
张晋瑞认为，要做好资安，并不只是区分IT与OT，各行其是，而应该要好好的一起做。
一般而言，我们往往若面临资安问题、事故，就必须设法修补与善后，但不一定能掌握IT与OT资产的风险，以及重要性的高低，因此出现资源不断投入，成效却不彰的状况。然而，企业的资源（人力、预算）有限，因此，我们还是要思考整体资安的管理，注意哪些组织要对流程进行管控、稽核，并且制定策略、实施正确的处置措施。
此时，若能有一套管理制度，企业就可以知道哪些是重要的、风险较高的部分，再将资源放在这边，就能有效保护重要资产、大幅降低风险。而在实际营运的过程当中，我们也会面临种种工作的要求，可参考资安认证的标准来验证，举例来说，在弱点更新的管理上，在ISO 27001里面，我们可参考A.12.6技术脆弱性管理的规范，如果是OT的部份，则可根据IEC 62443-2-3 IACS环境的弱点修补管理来进行控管。
整体而言，张晋瑞建议，上述这些都是该做的项目，但我们应该想的是如何由上而下，而且是横跨整个企业来施行，以及该把资源放在何处较适当。若能建立一套管理制度，就能够帮我们找到开始着手的起点，知道从哪里开始做，而相关规画，企业可以自己做，或找专业顾问公司来协助。