News

LEADING BRAND IN SECURITY ASSESSMENT - ONWARD

工控系統危機四伏 掌握工控資安風險管理要點

2021 / 10 / 01

風險 = 威脅 + 弱點
工業控制(工控)的製程係透過技術驅動,由於技術的複雜性,工控系統與相關軟體與零組件,都可能含有弱點;這些既有弱點,一旦被誤觸或加以不當利用,便會產生威脅。而威脅與弱點結合,則導致風險發生,進而造成人身安全、資訊安全或環境衝擊等事件,包含了:金錢     賠償、人員健康議題、環境保護問題、產量減少或停擺、產品良率減損、業務中斷、監管單位行政處罰、司法單位判刑,以及商譽受損等有形或無形的損失。企業因此必須確保工控製程、廠區管理政策和員工行為的安全管理方案,有效將風險降到最低。

工控場域之資安風險管控要點

1. 風險管控架構
開始進行工控場域風險管控前,工控場域負責人與利害關係人,必須召集納管之工控場域中相關製程的所有員工,揭露將要執行「工控風險管理計畫」,並進行工控場域資安風險管控的宣示與承諾,讓所有     人員瞭解此流程的重要性,方能     啟始PDCA的架構循環:

  • 計畫(Plan):工控場域風險管控的架構設計。
  • 執行(Do):依據設計好的架構,實施工控場域風險管控。
  • 檢視(Check):工控場域風險管控的監測與審查。
  • 改善(Action):持續改進工控場域風險管控的架構設計。

2. 風險管控流程
實務上工控場域負責人及利害關係人與其相關顧問,應進行風險管控需求的溝通與諮商(Plan),並落實工控風險管控的監測與審查(Check)。在溝通與諮商、監測與審查間,應建立相關環節的文件化管理。在監測與審查過程中,皆會產出文件至監測與審查階段。整個PDCA循環期基於工控場域風險管控的架構設計(如下圖所示)  。

風險管理原則、架構及過程間之關係[1]

2.1 工控資產盤點與風險辨識
為界定納管的工控場域範圍,執行資產盤點,風險辨識可透過以下兩種方式進行,加以綜合考量:

  • 風險來源方式:進行工控弱點檢測分析,以衡量工控場域之弱點。
  • 問題分析方式:進行工控風險預測評估,以衡量工控場域內外部威脅。

2.1.1 工控弱點檢測分析
可透過盤點來瞭解工控場域內,有哪些資產需要檢測,分區邏輯圖與網路拓樸圖,是必要的產出;風險來源即是這些資產上的弱點,透過充份、必要的分析與測試,有助於威脅發生前,早日發現弱點,進行相關補償措施,以達成風險控制。相關檢測要求或測試技術,至少包含:

  • 製程弱點分析:例如,廠區與製程災防分析、製程輸入檢查、製程通訊安全性分析、製程員工之電腦與網路行為管控與分析、製程資料流紀錄與分析、製程、系統與設備壓力測試、製程、系統與設備可用性、完整性、機密性分析、製程、系統與設備身分驗證與授權安全性分析。
  • 系統與設備之設定檔分析、原始碼弱點分析、電路分析。
  • 系統與設備模糊測試。
  • 工控場域弱點掃描與滲透測試。

2.1.2 工控風險預測評估
風險評估的方法相當多元,例如工業自動化與控制系統的風險評估,而採用 IEC 62443-3-2 標準導入是最佳的方案,該標準可適用於工控產品製造商、服務提供商與系統整合商等,且目前已有完整的認驗證制度,企業可以依據需求,取得相對應範圍或類型的國際證書。
以風險評估方法論的風險分類來看,可分為「可逆風險」與「不可逆風險」,並加以區分損害強度,以界定風險等級;基於風險等級的評定,會包括基於目標、基於場景、基於分類法等問題分析法,也能結合MITRE ATT&CK矩陣[2],以評估弱點可及性,得以預測風險發生概率;而量化風險等級的評定,可參考以下公式 :

不可逆風險x高損害強度x高發生概」=最高風險等級

藉此建立風險矩陣呈現之風險圖表,列出處於風險中的資產、對這些資產的威脅、修改可能增加或減少的風險、確認可容忍的風險與希望避免的後果之因素。某些風險計算模型的公式,甚至會列入風險相關損失成本與風險相關處理時間。

2.2 工控風險處理
2.2.1 風險監測與對應策略

  1. 使用安全管理系統(Safety and Security Information Management System, S&SIMS),並導入     風險     管控標準,例如通用的 ISO 31000、工控安全的 IEC 62443系列、資訊管理系統的ISO 27000系列等標準,與各工業領域其各自的製程安全標準,比如製造醫療器材的企業,就需要導入ISO 13485。
  2. 製程的設計,具有足夠內部風險控制與風險遏止措施,例如採購合規的工控設備。
  3. 為製程追蹤風險,定期重新評估風險,辨識正常特徵、可接受的風險,並更新與改善風險緩解措施。
  4. 落實「對員工的瞭解」(Know Your Employee, KYE),並以強化危害與風險溝通的方針,落實員工教育訓練。
  5. 定期為「風險緩解措施」進行風險發生的應變演練,例如消防、工安事故等災害演練、資安紅藍隊演練。
  6. 將部分風險分散到外部機構,例如保險公司、供應鏈企業等。
  7. 完全避免風險,例如在     工控系統使用邏輯與物理上完全獨立,且對物隔離網路與電力系統,並啟用孤島模式。

2.2.2 對應潛在風險
相對於容易列管的已知風險,潛在的未知風險較難     掌控。某些弱點因不易於早期檢測時發現,需進行長時間研究並投入相當高的技術力,才得以被披露。因此,許多高科技公司透過高額重賞,盼能早日檢測出這些潛在弱點。事實上,潛在風險是可以進行相關風險管理,在此舉例已知風險案例,藉以理解風險管理的方式:

  1. 風險規避:汰除與不啟用無法修補弱點、且高可及性的機具設備。
  2. 降低風險:提高自動化程度,降低人員傷亡的可能性,像是CNC機具就需要提高自動化程度。對於包含弱點的機具設備,使用防火牆、實體上鎖、或孤立等保護措施,降低其可及性。
  3. 風險分散:供應鏈安全管理、人員健康團保、廠區災難險(水、火、地震等)、場域設備資安險。
  4. 風險保留:經過風險評估後,由公司自身進行風險承擔。對於可能性與衝擊性相對較小的風險,是可行的應對策略。
  5. 本文概要的說明工控場域之風險管控的幾個重要環節,但最重要的仍是工業廠區的每一位人員,確實瞭解與落實工控風險管理計畫與其相關重點,才能達到最小化廠區風險的目標。

安華聯網工控安全 解決方案     
安華聯網的工控安全解決方案,獲IECEE國際電工組織委員會認可為 IEC 62443資安檢測實驗室(CBTL),能提供完整的在地化服務,包含IT與OT的資安合規諮詢、技術支援及產品測試,可協助客戶更快速取得國際認證。此外, ISO 27001的合規與安全評估服務以及工控系統的安全檢測服務,能滿足管理面與技術面的工控資安要求,包括PLC、ICS、SCADA、MES等智慧製造相關之工控元件與系統。同時更提供軟體安全開發諮詢服務與教育訓練,使企業具備軟體安全開發能量並建立工業物聯網相關的資安意識,以因應智慧製造的建置及工業4.0時代的來臨。

媒體報導

 
引用資料
[1] 《CNS 31000,風險管理-原則與指導綱要》經濟部標準檢驗局。閱於2021.Jul.12。網址: https://www.bsmi.gov.tw/bsmiGIP/wSite/public/Data/f1461570545959.pdf