工控安全
01.Oct.2021
工控系统危机四伏 掌握工控网络安全风险管理要点
风险 = 威胁 + 弱点
工业控制(工控)的制程是通过技术驱动的,由于技术的复杂性,工控系统与相关软件与功能部件机床,都可能含有弱点;这些弱点,一旦被误触或加以不当利用,便会产生威胁。而威胁与弱点结合,则会导致风险发生,进而造成人身安全、信息安全或环境冲击等事件,包含金钱赔偿、人员健康议题、环境保护问题、产量减少或停滞、产品优良率下降、业务中断、监管单位行政处罚、司法单位判刑,以及商誉受损等有形或无形的损失。 因此企业必须确保工控制程、厂区管理政策和员工行为的安全管理方案,尽量将风险降到最低。
工控领域的信息安全风险管控要点
1. 风险管控架构
进行工控领域风险管控前,工控领域负责人与利害关系人,必须召集纳入管理的工控领域中相关制程的所有员工,公布将要执行「工控风险管理计划」,并进行工控领域信息安全风险管控的展示与承诺,让所有人员了解此流程的重要性,方能启动PDCA的架构循环:
- 计划(Plan):工控领域风险管控的架构设计。
- 执行(Do):依据设计好的架构,实施工控领域风险管控。
- 检视(Check):工控领域风险管控的监测与审查。
- 改善(Action):持续改进工控领域风险管控的架构设计。
2. 风险管控流程
在实际工作中工控领域负责人及利害关系人与其相关顾问,应进行风险管控需求的沟通与磋商(Plan),并落实工控风险管控的监测与审查(Check)。在沟通与磋商、监测与审查期间,应建立相关环节的文件化管理。在监测与审查过程中,皆会产出文件至监测与审查阶段。整个PDCA循环期基于工控领域风险管控的架构设计(如下图所示) 。
2.1 工控资产盘点与风险辨识
为界定纳入管理的工控领域范围,执行资产盘点,风险辨识可通过以下两种方式进行,加以综合考量:
- 风险来源方式:进行工控弱点检测分析,以衡量工控领域的弱点。
- 问题分析方式:进行工控风险预测评估,以衡量工控领域内外部威胁。
2.1.1 工控弱点检测分析
可通过盘点来了解工控领域内,有哪些资产需要检测,分区逻辑图与网络拓扑图,是必要的产出;风险来源即是这些资产上的弱点,通过充分、必要的分析与测试,有助于在威胁发生前发现弱点,进行相关补偿措施,以达成风险控制。相关检测要求或测试技术,至少包含:
- 制程弱点分析:例如,厂区与制程灾防分析、制程输入检查、制程通讯安全性分析、制程员工的计算机与网络行为管控与分析、制程资料流记录与分析、制程、系统与设备压力测试、制程、系统与设备可用性、完整性、机密性分析、制程、系统与设备身份验证与授权安全性分析。
- 系统与设备的设置文件分析、源码弱点分析、电路分析。
- 系统与设备模糊测试。
- 工控领域弱点扫描与渗透测试。
2.1.2 工控风险预测评估
风险评估的方法相当多元,例如工业自动化与控制系统的风险评估,而采用 IEC 62443-3-2 标准导入是最佳的方案,该标准可适用于工控产品制造商、服务提供商与系统整合商等,且目前已有完整的认验证制度,企业可以依据需求,取得相对应范围或类型的国际证书。
以风险评估方法论的风险分类来看,可分为「可逆风险」与「不可逆风险」,并加以区分损害强度,以界定风险等级;基于风险等级的评定,会包括基于目标、基于场景、基于分类法等问题分析法,也能结合MITRE ATT&CK矩阵[2],以评估弱点可及性,得以预测风险发生概率;而量化风险等级的评定,可参考以下公式 :
以风险评估方法论的风险分类来看,可分为「可逆风险」与「不可逆风险」,并加以区分损害强度,以界定风险等级;基于风险等级的评定,会包括基于目标、基于场景、基于分类法等问题分析法,也能结合MITRE ATT&CK矩阵[2],以评估弱点可及性,得以预测风险发生概率;而量化风险等级的评定,可参考以下公式 :
不可逆风险x高损害强度x高发生概」= 最高风险等级
根据这个公式建立风险矩阵呈现的风险图表,列出处于风险中的资产、对这些资产的威胁、修改可能增加或减少的风险、确认可容忍的风险与希望避免的后果的因素。某些风险计算模型的公式,甚至会列入风险相关损失成本与风险相关处理时间。
2.2 工控风险处理
2.2.1 风险监测与对应策略
- 使用安全管理系统(Safety and Security Information Management System, S&SIMS),并导入风险管控标准,例如通用的 ISO 31000、工控安全的 IEC 62443系列、信息管理系统的ISO 27000系列等标准,与各工业领域其各自的制程安全标准,比如制造医疗器材的企业,就需要导入ISO 13485。
- 制程的设计,具有足够内部风险控制与风险遏止措施,例如采购合规的工控设备。
- 为制程追踪风险,定期重新评估风险,辨识正常特征、可接受的风险,并更新与改善风险缓解措施。
- 落实「对员工的了解」(Know Your Employee, KYE),并加以强化危害与风险沟通的方针,落实员工教育训练。
- 定期为「风险缓解措施」进行风险发生的应变演练,例如消防、工业安全事故等灾害演练、信息安全红蓝队演练。
- 将部分风险分散到外部机构,例如保险公司、供应链企业等。
- 完全避免风险,例如在工控系统使用逻辑与物理上完全独立,且对物隔离网络与电力系统,并启用孤岛模式。
2.2.2 对应潜在风险
相对于容易列入管理的已知风险来说,潜在的未知风险则比较难掌控。某些弱点因不易在早期检测时发现,需进行长时间研究并投入相当高的技术力,才得以被披露。因此,许多高科技公司希望能通过高额重赏,早日检测出这些潜在弱点。事实上,潜在风险是可以进行相关风险管理,以下为已知风险案例,有利于理解风险管理的方式:
- 风险规避:淘汰或者不启用无法修补弱点、且具有高可及性的机械设备。
- 降低风险:提高自动化程度,降低人员伤亡的可能性,像是CNC机械就需要提高自动化程度。对于包含弱点的机械设备,使用防火墙、实体上锁、或孤立等保护措施,降低其可及性。
- 风险分散:供应链安全管理、人员健康团体保险、厂区灾难险(水、火、地震等)、领域设备信息安全险。
- 风险保留:经过风险评估后,由公司自身进行风险承担。对于可能性与冲击性相对较小的风险,是可行的应对策略。
- 本文概括说明了工控领域的风险管控的几个重要环节,但最重要的仍是工业厂区的每一位人员,只有他们确实了解与落实工控风险管理计划与其相关重点,才能达到最小化厂区风险的目标。
仲至信息工控安全 解决方案
仲至信息的工控安全解决方案,获IECEE国际电工组织委员会认可为 IEC 62443信息安全检测实验室(CBTL),能提供完整的在地化服务,包含IT与OT的信息安全合规咨询、技术支持及产品测试,可协助客户更快速取得国际认证。此外, ISO 27001的合规与安全评估服务以及工控系统的安全检测服务,能满足管理面与技术面的工控网络安全要求,包括PLC、ICS、SCADA、MES等智慧制造相关的工控组件与系统。同时更提供软件安全开发咨询服务与教育训练,使企业具备软件安全开发能量并建立工业物联网相关的信息安全意识,以应对智慧制造的构建及工业4.0时代的来临。
