為何國際開始重視產品的網絡安全性?
過去這些ICT產品/系統多應用在封閉的工廠或智慧居家中,較少對外網路連線,但網路化(甚至通訊無線化)以後,實體隔離邊界被打破,一般ICS系統可能透過無線或有線網路連結至廠區外,進行遠距監視、監督、控制或數據應用,甚至進行遠端診斷與維護,因此也提供了駭客利用這些網路管道進行入侵與破壞。過去已經發生多起工業資安事件,例如2010年伊朗遭到Stuxnet病毒攻擊,破壞超過1000台提煉濃縮鈾的離心機、2014年德國一煉鋼廠遭到駭客入侵控制系統,造成熔爐設施嚴重損害、2015年12月駭客攻擊烏克蘭電力網路,造成伊萬諾-弗蘭科夫斯克州數十萬戶大停電、而2018年台積電更因供應商之疏忽造成Wannacry病毒肆虐,造成一個週末超過2億美元的停工損失。
有鑑於此,歐洲經濟委員會終於在2019年9月提報聯合國經濟及社會理事會,提出有關於網絡安全的共同監管框架(Common Regulatory on Cybersecurity),明定引用IEC 62443系列標準作為工控系統網絡安全驗證的骨幹標準,亦即未來各國為保障自己工業(例如製造、基礎設施、軌道) 的OT(Operational Technology)安全及智慧建築內的智控應用安全,將可依IEC 62443來要求各ICT產品安全規格能力,以排除不安全的設備進口與使用,因此未來可能形成資通訊產品的貿易壁壘。
因此,未來ICT產品價值若符合ISA/IEC 62443認證產品的價格,則可提升10~50倍,提供ISA/IEC- 62443認證要求能力可使產品毛利提升30%到100%,歐美國家將落實要求,所以台灣廠商必須積極因應,目前未具備網絡安全要求之低價代工產品將可能因貿易壁壘而逐步被迫退出市場。
工業生產環境(OT)講求可用性(Availability),重視生產持續運作與安全性,與傳統企業資安重視資料隱私不同,生產運作不能因為遭受病毒攻擊而馬上停工檢測並清除病毒,一般工業OT無法倚靠防毒軟體或頻繁系統更新,對於防駭,設備本身就要有嚴格之安全設計要求,以抵擋病毒攻擊,甚或與病毒共存,以維持生產持續運作,直到下次歲修才處理攻擊問題並移除病毒。ISA/IEC- 62443由國際自動化學會(ISA)與國際電工委員會(IEC)針對一般自動化控制系統,要求各組件/軟體/設備/系統/網絡都要分攤自我防護能力,因此提供網路安全驗證計劃(cybersecurity certification programs,也稱為合格評定計劃,conformity assessment program)以驗證成熟度與安全能力等級。
ISA/IEC-62443的目標是提高用於工業自動化和控制的組件或系統的安全性、可用性、完整性和機密性,並為採購和實施安全的工業自動化與控制系統提供標準。ISA/IEC-62443的標準及技術報告分為四類,分別是一般性通則(General)、政策及程序(Policies and Procedures)、系統(System)及部件(Component),如圖一所示,
圖一、ISA/IEC-62443 文件組成
工業產業鏈體系各角色與上述各類Cybersecurity應用要求如圖二所示:
圖二、ISA/IEC-62443 適用對象與要求範圍
產品製造商之產品安全要求涵蓋 【4-1】產品開發要求及【4-2】 IACS部件的技術網絡安全要求,從嚴謹的開發流程管理制度到產品的資安深層防護設計(Defense in Depth),全面要求產品生命週期各階段之資安管控能力。系統整合服務提供商為生產體系提供整合服務時,必須根據【2-4】 IACS解決方案供應商的要求,證明符合IEC/ISA-62443體系之能力要求,包括建立【2-1】 IACS網路安全管理系統、【3-2】 安全風險評估與系統設計能力、以及組裝合格【4-2】 之IACS部件的技術網絡安全產品。而運營業者/資產擁有者可依據【3-3】 系統網路安全要求和網路安全保證等級進行安全要求進行維運,包括建立【2-1】 IACS網路安全管理系統(CSMS) 、挑選合格之系統整合服務提供商等。
IECEE OD 2061:2018為產品製造商、系統整合服務提供商、運營業者/資產擁有者定義了以下數個類型的符合性證書:
A:產品能力評估(IEC 62443-2-4、IEC 62443-3-3、IEC 62443-4-2)
B:過程能力評估(IEC 62443-2-4、IEC 62443-4-1)
C:解決方案能力評估(未來考慮)
D:產品應用的能力評估(IEC 62443-4-1)
E:過程應用的能力評估(未來考慮)
F:解決方案應用的能力評估(IEC 62443-2-4)
「(功能)安全」和「網絡安全」是未來使用各類自動化控制系統的基本需求,可驅動產品朝高價值安全要求發展,國際已實施並分別使用IEC 61508 和/或IEC 62443作為「(功能)安全」和「網絡安全」的骨幹要求標準。資策會根據國內各界高價值安全性產品轉型發展需求,與國內(功能)安全專家(IEC 61508)-英能科技(軌道、Oil & Gas、製程、能源、機械…等領域),策略合作,共同提供工控資安IEC 62443各類認證輔導顧問服務,服務對象包括:
A: 輔導產品製造商:
輔導建立【4-1】過程能力要求,並通過具備過程能力評估(B)證書,進一步輔導【4-1】產品應用能力與【4-2】產品能力發展產品,協助通過產品應用能力符合性評估證書(D),接續取得產品能力符合性評估證書(A)(產品組件、系統)。
B: 輔導系統整合服務提供商:
輔導建立【2-4】過程能力要求,並通過具備過程能力評估(B),進一步輔導【2-4】產品能力要求,以及輔導建立解決方案應用的能力,協助通過產品能力(A)符合性評估證書,以及取得解決方案應用能力(F)符合性評估證書
C: 運營業者/資產擁有者:
輔導從通過ISO 27000系列資訊安全管理系統(Information Security Management System, ISMS)符合性評估證書,建立IEC 62443-2-1工業自動化控制系統網絡安全管理系統(Cyber Security Management System, CSMS),對於IACS網絡安全則建議引用IEC 62443系列標準作為骨幹依據,進行相關要求與管理,以維護生產製程安全性與可用性。
為充分提供發展各類證書所需,資策會亦根據【3-2】 安全風險評估與系統設計要求,提供各OT領域網絡安全風險評估,包括威脅模型分析、高階風險評估、細部風險評估、以及緩解對策等分析服務,以及產品研發過程之各式V&V資安測試、【4-2】測試項目、測試實施和測試報告。
觀點/結論
國際ISA/IEC 62443認驗證在2019年討論定案後,通常有3~5年之過渡期讓廠商因應發展,2022年極可能全面要求實施。我國在推動安全性產品升級已落後國外10年,國際大廠的工控設備普遍都已符合ISA/IEC 62443認證通過,我國必須及早因應趕上進度,以利下一波產業競爭。資策會與國內(功能)安全專業(英能科技)策略合作,互補專長,共同提供工控資安IEC 62443各類認證輔導顧問服務,已協助國內一家ICT廠商通過【4-1】過程能力要求,為國內技術領先之團隊,協助各類產品進行安全認驗證顧問輔導服務,此外,資策會所成立之資安檢測鑑識實驗室不僅取得我國財團法人全國認證基金會(TAF)認證,並已取得TUV NORD (漢德)等國際認證單位認可,採認本實驗室各【4-1】測項之測試結果報告,可有效率為國內業者提供一條鞭的全程顧問服務,降低產品開發與認驗證成本。轉型升級IEC 62443安全產品價格將可數十倍升,獲利十倍增,台灣產品可藉此轉型高價市場機會,切入下一代安全加值市場契機。