自工業4.0概念崛起,善用新興科技加速數位升級已成為企業競爭力關鍵。然而,日益猖獗的駭客攻擊卻也成為亟需面對的新課題,尤其是在通訊、物聯網、雲端運算以及人工智慧等前瞻技術的整合運用下,包含連網設備安全、雲端安全防護以及供應鏈資安,都將面對更巨大的風險。
為了普及資安意識、精進企業資安防禦、強化數位化社會與台灣數位產業的資安韌性,由臺北市職能發展學院主辦、臺北數位科技人才發展基地試辦計畫推動,並由資展國際計畫執行的「資安的智慧化機遇與人才發展」前瞻技術座談,也於日前邀請多位專家精采分享「AI和工控資安科技發展趨勢」、「中小企業萬物聯網時代的資安巷戰策略」、「資安雲端安全檢測與供應鏈防禦掃描」以及「自動化資安防護-新一代AI資安挑戰與趨勢」等趨勢觀點、最新資安技術發展以及技能培育建議。
資展國際行銷總監劉書賢在開場引言中指出,資安議題不只與每個人的生活息息相關,更已升級為國家級議題,今年美國軍火商訪台特別拜會台灣AI資安公司,便突顯了資安防禦的重要性。而在法規方面,立法院已三讀通過「個人資料保護法修正案」,日後非公務機關(即企業)若未能善盡安全維護義務導致洩漏個資,最高可處1,500萬元罰鍰。
另一方面,在數位潮流以及物聯網趨勢應用下,智慧型設備弱電系統被駭,已對不少企業造成重大影響。近幾年從網路書店、知名商場到學校,都陸續發生駭客攻擊事件,也突顯出資安戰情室的必要性,隨著產業數位轉型與智慧化發展,未來10年,資安防禦韌性更將日益重要。尤其是中小企業,如何以較低的成本來解決資安課題,也是亟需克服的挑戰。
「大多數的企業都不知道自身有資安問題,更不用說在工控安全領域,」資策會資安科技研究所組長黃鼎傑指出,惡意軟體發展愈來愈刁鑽,從早期以竊取資料為主的病毒到WannaCry勒索病毒崛起,不少企業及智慧製造的工控場域都深受其害,「根據推估,自2018年至2022年,台灣至少被勒贖135億元,工控資安的問題已愈來愈嚴重。」
製造業場域面臨諸多資安痛點,包含了工控網路架構封閉難以隨意重新設計、老舊產線設備不支援資安機制、廠內資產混亂不清、場域資訊流難即時掌握,以及產業隨時生產運行不可任意停機維護。除此之外,不少企業只有一名MIS配置,很難同時兼具IT與OT的資安管理能力,因此相關的資安培訓也很重要。
他提到,ISA/IEC 62443標準定義了工控資安防護四步驟,首先,要先進行資產盤點,標記所有設備並且進行重要性排名,第二是定義區域(Zones),每一個區域的設備安全需求都是一致的,不要將其混淆,接著是定義管道(Conduits),要確保的是,若某一個區域中毒或被感染,不會影響到其他的網路環境。最後是為每一個區域添加資產控制措施,包括用戶控制、資料完整性、資料保密性、數據存取限制、對安全事件的及時響應,及拒絕服務攻擊期間保持資源可用性。「資策會資安所也能提供健檢服務以及工業物聯網威脅偵測系統(ICTD)來協助企業克服資安挑戰。