隨著企業數位轉型計畫的逐步落實,物聯網的應用正在擴展至各行各業,特別是工業領域。工業物聯網(IIoT)能夠將各種工業設備和感測器透過網路連接,蒐集大量由營運技術(OT)產生的資料,交由資訊技術(IT)領域的雲端或邊緣運算進行處理與分析,不僅有助於提升生產效率,更能挖掘潛在的商業價值。
過去,OT主要指的是各種輕重工業、高科技製造業和能源管理等領域運用的工業控制系統(ICS)等工控自動化設施,與IT關鍵應用系統相對,OT系統通常專注於實體設備的運作與監控,兩者網路往往相互隔離。隨著數位轉型的推進,IT與OT的融合已成為必然的發展方向,然而,資安風險的控管卻尚未跟上數位化的腳步。
根據睿控網安(TXOne Networks)於2024年初與調研公司Frost & Sullivan合作發布的《匯流的危機:2023年OT/ICS資訊安全》報告,該報告調查了全球汽車、醫藥生技、化學、一般製造、石油天然氣及交通運輸等多個產業的IT與OT資安決策者共405人。結果顯示,97%的受訪者認同當IT系統發生資安事件時,OT環境也會受到影響。
這種現象可從網路攻擊狙殺鏈(Cyber Kill Chain)來理解。攻擊者從偵察、武器化、遞送、漏洞利用等七個階段,逐步從IT系統橫向移動到OT系統,導致OT環境受到影響。睿控網安執行長劉榮太指出,一個著名的案例是2021年美國最大的燃油管道營運商Colonial Pipeline遭到勒索軟體DarkSide的攻擊,迫使其暫停所有輸油管線的運作。雖然該事件主要是因資料庫遭到惡意加密,實際上油管系統仍能運作,但由於缺乏數據支援,輸油管線無法正常操作,只能暫時停止。類似的情況也經常發生在台灣的工控場域,儘管生產線仍可運作,但由於資料庫遭到加密,工廠被迫停工。
另一個值得關注的面向是,勒索軟體在IT環境中常常潛伏許久。當資訊安全紀律不佳時,IT管理者可能直接連線到OT設備,甚至使用共用的帳號和密碼。因此,一旦IT環境發生資安事件,將直接影響OT的營運環境。睿控網安就曾有汽車業的客戶,整個工廠遭到攻擊,產線上的機器也一同受害。
此外,報告數據顯示,有47%的組織曾遭遇勒索軟體攻擊,52%的資安長表示,設備維修是資安事件的主要來源。對大多數製造業而言,這52%的攻擊來源是在工廠進行設備維修時感染了病毒。無論是機台需要更新、維修,或是現場員工、系統整合商、設備供應商,都可能無意間將勒索軟體帶入OT營運現場,導致感染。
然而,只有不到1%的攻擊來自國家級的駭客組織,即專門針對性的國家攻擊,這在整體攻擊數量中相當少。因此,劉榮太強調,日常生活中的資安管理才是最重要的。當紀律不佳時,即使是執行例行更新作業,現場操作人員也可能帶來危害,無需最新的病毒也能成功感染。
OT場域資安挑戰與安全營運策略
OT場域在資安防護上所面臨的挑戰,主要在於人員、流程與技術,並未跟著IT技術與時俱進,因而引發潛在的資安風險。然而,要落實資安控管,並非資安長一人可以達成,必須協同資產相關的管理者建立聯防。須由設備製造商、IT與OT等相關人員攜手合作,建立共識——以合宜的資安所支撐的營運,是所有人共同追求的目標。在工控場域,最佳的實踐方式就是建立並落實以資產為中心的資安框架,在產品生命週期的每個階段提供適切的保護,確保營運成果。
實際上,對OT場域的工程師或維運人員來說,資安並非最重要的工作職責。他們的目標是確保設備和生產系統穩定運行。因此,當資安長提出:「產線設備需要定期掃描檢查,並安裝防毒軟體」,這些資安措施對於OT人員而言,可能無法與日常職責產生共鳴,畢竟這並不是優先的工作重點。
因此劉榮太建議,應以安全的營運(Secure Operations)作為切入點,而非僅僅談論資安治理。對OT人員而言,他們的首要責任是確保工控場域的工作運作順暢,但這些場域可能會受到外部惡意程式的威脅。而保障「安全的營運」便成為了IT與OT領域的交集。這不僅能讓OT人員理解資安的重要性,也能讓資安防護措施順利地融入到日常工作工作流程。
安全的營運作為一個整合性概念,能夠有效促進IT與OT人員的合作。之後像是睿控網安等資安專家,再進一步深入解析營運流程,才能提供量身訂做的資安解決方案,確保達到安全的營運目標。
IEC 62443奠定資安防護與合規基礎
捷而思董事長吳建東早期曾擔任科技部「智慧製造及半導體先進製程計畫」資安實測場域委員,他回憶指出,當時推動計畫遭遇最大的障礙是OT人員精通機台設備和營運流程,但對資安了解不足;相反地,資安專家對於OT場域的工作流程並不熟悉。為了縮短這個知識差距,政府鼓勵學界提出研究計畫,問題是,每個學派的論述方式不同,難以取得共識。
隨著國際工控自動化標準協會ISA99(現為IEC 62443)採納了30年來用於描述工業控制系統(ICS)架構的普渡(Purdue)模型,用來描述大型工控物聯網環境中重要元件的關聯、依存關係,以及資料/控制流向,亦可作為風險識別標示及安全解決方案部署參考。雖然各家企業所屬產業及生產品項與流程均大不相同,但普渡模型可用單一抽象的架構表達複雜且不易統一的系統架構。因此台灣學術研究也開始以此為基礎發展防護措施,儘管並非為產業標準,但已經成為不同領域之間共通的語言,促進了異質領域的溝通與合作。
IEC 62443提供了一套全面的方法,用於風險管理、實施安全控制以及維護多層級系統(例如普渡模型中的系統架構)的安全運作,以確保現場層級到資訊系統的整體安全性。透過將安全措施聚焦在各層級之間的關鍵通訊點,並遵循標準化的實踐,業界可以針對各個垂直領域開發出更安全、更具彈性的工業物聯網生態系統。
針對物聯網裝置,IEC 62443提供了相關的安全規範,例如IEC 62443-2-1規範了資產擁有者的資安計畫要求,類似於OT領域中的ISO 27001。吳建東觀察,所有的資產控管基礎大多從ISO 27001向下延伸,儘管不同的產業別(例如汽車製造業)可能有專屬的標準,但概念都是相似的,各產業都是基於相同的理念進行資安管控。
預計在2024年正式生效的歐盟網路韌性法案(CRA),旨在提高物聯網產品的網路安全性,並要求製造商在產品的設計、開發及生產過程中遵循嚴格的安全標準。該法案明確規定了製造商的義務,包括提供安全更新和漏洞管理,並要求所有具有通訊功能的數位產品必須符合最低安全要求,以獲得CE標誌。企業若能符合IEC 62443技術規範,將有助於符合CRA的合規要求。