網路威脅及攻擊永不停歇,重大資安事件連環爆。與多數生命財產安全相關的關鍵基礎設施,如果也遭到入侵及破壞,造成的傷害將嚴重到難以彌補,所以相關機構務必遵循相關法令,徹底落實事前預防、事中應變處理與事後復原的工業控制系統資安防護機制。
在物聯網時代,維繫能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方政府機關、高科技園區等八大類我國主要關鍵基礎設施服務的資訊系統或控制系統一旦受到網路或實體攻擊,基礎設施服務輕則中斷,重則系統癱瘓,將嚴重影響國民生活與國家安全。
因此,先進國家如美、日、德、中等紛紛將關鍵基礎設施與關鍵資訊基礎設施納入管理,我國起步雖較上述國家晚,但所幸納管關鍵(資訊)基礎設施的資通安全管理法即將拚三讀,相信關鍵資訊基礎設施資安防護的落實應指日可待。
資安防護機制應徹底落實
不論政府機關或民間企業,IT部門為減低一般資安事件對業務或事業體本身帶來的衝擊,在組織體內建立事前預防、事中應變處理與事後復原的資安防護處理機制已是最基本的資安防護要求。尤其AI系統發展日漸成熟,不少資安廠商已紛紛投入資安應變流程的自動化系統開發,提供更完善的資安防護機制。
但是,在關鍵資訊基礎設施防護方面,工業控制系統的資訊安全與系統安全長期受到忽略,不聯網就不會受到攻擊的錯誤迷思持續存在,導致我國工業控制系統的資安意識與資安防護機制遲未建立。
所幸,我國政府已意識到工業控制系統安全的重要性,在105年8月修訂「國家資通安全通報應變作業綱要」第四章應變作業中規定,各政府機關應就自有或委外管理的關鍵資訊基礎設施建立基本事前安全防護、事中應變處理、事後復原的應變作業機制,而「政府機關(構)資通安全責任等級分級作業規定」,也針對屬於國營事業、保有全國性個人資料檔案之機構(例如中華郵政)、特許機構、醫療機構與政府委託民間興建營運後轉移的關鍵基礎設施營運單位規範資安等級的作業事項。
因此,為了降低工業控制系統的資安風險,不論是否屬於前述機關(構)的關鍵基礎設施企業,均應導入、改善與落實工業控制系統的資安防護機制。
本文以「國家資通安全通報應變作業綱要」與「政府機關(構)資通安全責任等級分級作業規定」為框架,搭配工業控制系統防護特性,提出基本工業控制系統資安防護機制,供關鍵基礎設施企業參考。
事前安全預防
事前安全預防內容,涵蓋以下幾項內容:
‧制定資訊安全策略:企業內部若無制定資訊安全策略,應先訂立具有明確資安管理權責的資訊安全策略,並由企業內部IT人員、工業控制系統人員組成跨功能性小組共同制定災害預防、緊急應變程序、復原計畫與工業控制系統安全管理架構等防護措施與定期演練,並將工業控制系統部門的特性納入考量。若企業內部已訂定IT系統的資訊安全策略,則可由企業內部的跨功能性小組共同修正資訊安全策略、災害預防、緊急應變程序與復原計畫,以適用工業控制系統,徹底落實IT系統與工業控制系統的防護。
‧防護環境建置:企業應規劃建置整體資安防護環境,可以考慮導入美國NIST800-82標準或IEC 62443工業網路與系統安全(IEC 62443 Industrial Network and System Security)標準進行防護環境建置,其相關措施應包含減少不必要的網路連線,進行網路隔離、邊界防護、防火牆建置、虛擬網路隔離、採用縱深防禦(Defense -in-Depth)策略、設定防火牆的一般規則與特定服務防火牆建議(包含DNS、HTTP、TFTP、SSH、DHCP、SNMP、SMTP、DCOM、Telnet、SCADA與ICS Protocol)、容錯機制、驗證與授權機制、工業控制系統實施考量的各種要素、監控、日誌紀錄與稽核及事故偵測、應變與系統復原等防護機制,以及作業控制、管理控制、安全控制與風險管理框架。
‧事前防禦:企業應依內部資安政策與執行計畫,定期執行入侵偵測、安全掃描及弱點檢測等安全檢測工作,以做好事前防禦準備。
‧定期稽核:企業內部應定期實施安全稽核、網路監控與人員安全管理等機制,以降低安全威脅、災害損失、系統安全弱點並完成修補強化。
‧供應商管理:企業應定期將企業內部或供應商的資安相關記錄提供給企業內部的資安主管單位,並在與供應商的合約中,訂定要求供應商提供相關資安紀錄的條款。
事中緊急應變
事中緊急應變所須注意事項,如下所列:
‧保留數位證據:在發生資安事件的當下,企業應就資安事件發生原因、影響等級、可能影響範圍、損失、是否需要支援等項目逐一檢討與處置,並保留被入侵或破壞的相關證據,如涉及刑責,應聯繫檢警調單位協助偵查,以利事後的數位鑑定與訴訟程序的進行。關於數位證據保留的部分,由於人工保留不易,可以透過智慧型資安防護系統進行自動化處理。
‧尋求技術支援:若企業內部無法自行處理該資安事件,應查詢國家資通安全通報應變網站、系統弱點(病毒)資料庫或聯絡相關技術支援廠商等方式,尋求解決方案。如無法解決,企業應迅速向主管機關反應,請求提供相關技術支援。
‧啟動緊急應變計畫:依企業訂定之緊急應變政策、計畫與機制,實施緊急應變處置,並持續監控與追蹤管制,並透過人工或自動化系統全面清查企業內部受感染狀況,視資安事件損壞程度啟動備援計畫、異地備援或備援中心等應變措施,以防止事件擴大。
‧營運衝擊評估分析:企業應評估資安事件對企業營運造成之衝擊,並進行損害管制,必要時須啟動營運持續計畫(Business Continuity Plan),降低關鍵系統停止運作所造成的損失。
事後復原
事後復原所應注意的事項,包括以下三類:
‧啟動復原機制:依據企業內部訂立的系統事故復原與重建措施計畫,啟動事故復原與重建機制,以執行環境重建、系統復原及掃描作業。俟系統正常運作後,進行安全備份與資料復原等相關措施。
‧事故檢討:在完成復原重建工作後,應將資安事件成因分析、檢討改善的解決方案、防止事件再發生之具體方案、數位鑑定及蒐集分析相關證據等復原過程的完整記錄,予以建檔管制,以利使用。
‧防止事故再發生:企業內部應於事故處理完成後,全面檢討內部網路安全政策、措施與防護環境,並進行安全弱點修補、系統升級或修正防火牆規則等具體改善措施,並視需要修訂應變計畫,以防止相同或類似事故再次發生。
<本文由資策會科法所提供。資訊工業策進會科技法律研究所(資策會科法所)為國內首屈一指之科技及產業政策法制智庫,研究領域包含科技研發、科技專案、生物科技、個人資料保護、資通訊、資訊安全、文化創意及智慧財產權等法制議題,詳細資訊可參閱官網https://stli.iii.org.tw/。本文作者為蔡淑蘭研究員,長期研究並關注關鍵資訊基礎設施防護與資安法制等相關議題。>