79%的老板对工业物联网安全缺乏信心

近期盼多科技大厂接连遭黑客攻击,引起业界重视。随着智能制造逐渐普及,工厂物联网触及的范围也越来越广,然而在联网的同时,也成为黑客入侵的安全破口。然而要工厂OT导入新的IT解决方案并不容易,如何才能无痛升级呢?

因远程应用、管理优化等需求产生,依美国系统与网络安全协会(SANS Institute)的报告显示,已有72%的工业物联网应用通过IP为通信基础。然而,在联网越来越普及的情况之下,有79%的企业主对于掌握工业物联网设备的安全缺乏信心,安全问题已然成为工业物联网运营模式下的重要挑战。

保护网络安全的安全,在工厂反而被视为不稳定因素?

当深入探讨工业网络演进至今的状态时,将发现工业场景过去主要诉求“能精确控制的工业设备”、“有效传输的工业通信”、“简单省事的架构设计”与“首重可用且不能停机”的情况下,安全防护在设计阶段往往因导入前需要较多的讨论与资源,导入后需要更新维护、或防护与补丁被视为系统不稳定因素,而无法被完善的纳入设计计划中。

另一部分的现象是,业主想要自行发展出自家独有的安全配置,期望带来防护,或是让攻击者找不到弱点突破。然而未受时间或市场检验的安全配置有其盲点,一方面无法真正保障网络安全安全程度,另一方面一旦遭受突破,不容易以组织架构好的系统性方式寻求或参考外部资源进行改善。

参考国际电工委员会原则,从系统架构到技术要求都定义规范

实际上,在2002年国际自动化学会(ISA)发布的ISA-99文件中,针对从事自动化运营的企业,即提出一套防堵网络安全威胁的指导原则。当时的网络安全议题并不像现在这么热门。ISA的文件与国际电工委员会(IEC)常用的文件交相呼应,目前IEC-62443标准包含一系列的标准、报告和其他相关文件,以便明确定义通过电子方式保护工业自动化控制系统(IACS)的程序。借由遵循制定已久的IEC-62443标准准则,减少网络破口,进而降低网络遭受攻击的机会。

IEC-62443包含四个部分,其中IEC-62443-1定义系统架构和用语;IEC-62443-2定义如何创建安全管理系统,包含组织、人员、流程;IEC-62443 -3定义如何构建工业系统安全,涵盖构建安全网络、安全技术导入;IEC-62443-4属于组件层定义,制定产品供应商必须符合的产品开发要求、产品技术要求,如Moxa便是全台首家通过IEC-62443-4-1认证的企业。

工厂安全大不同,专家建议:参考准则才能无痛提升防御能力

有鉴于设计工业网络架构时的特性与要求不同于企业端网络,强化安全的手法也将需要涵盖不影响制造系统可用性的考量。Moxa建议参考IEC-62443进行系统性的规划,首先提升工业网络安全等级,强化网络各个环节,譬如激活交换机安全防护功能,或依网络架构现况导入安全路由器及工业用IPS等等做法,避开变动现有SCADA、PLC等网络系统或设备参数导致影响现场运行的疑虑,无痛且立刻提升工业现场网络的安全防御等级。

发表评论