防範工控資安漏洞「蝴蝶效應」一著不慎 滿盤皆輸

本文討論國際標準 IEC 62443 技術規範。本規範最主要針對 IACS 即工業自動化和控制系統（Industrial Automation and Control System 簡稱工控系統），解決工控系統的資訊安全問題。

IACS 工控系統攸關民生，實屬眾人之事

IACS 工控系統起初是為解決工廠裡自動化生產系統的經濟產能問題，但後續已被擴大運用至其它領域。現今已充分應用在大型事業體如製造廠、加工廠設施、建築環境的控制系統、地理位置分散的業務（關鍵基礎設施、電力天然氣）、石油等領域，這其中許多都是提供民生必要資源的領域。

我們再從個人視角來看其相關性，從居家環境：有線／無線傳播系統、電信網路系統、實體安全監控系統、醫療生理監控系統、自來水、供電、天然氣等等；出外交通：運輸系統（鐵軌、航運、船舶港口）；行車路況導航，甚至最新的自動駕駛系統，交通號誌；上班工廠的自動化生產系統；消費行為：ATM、刷卡、POS；其他方面如地震偵測、警報系統、無人機。因此 IACS 工控系統其實可以說與大眾日常生活息息相關。

由此可見，從個人、居家社區，到整個國家，都面臨對 IACS 工控系統的需求。IACS 工控系統與我們沒有距離的，系統安全實屬眾人之事。

IACS 工控系統發展

工業發展現階段處於工業 4.0，整合感控系統及物聯網技術基礎，期達智慧型工廠、智能的工控環境。工業 4.0 漸臻成熟，近來熱門話題 ChatGPT 機器人似乎隱約透露著工業 5.0 正在可預見的將來，未來一旦數位邏輯的工作可以委任給智能機器人，人類就可回歸專注人本、社會、環境思考等議題。

不斷推進，走向工業 6.0，將可實現「無處不在、客戶驅動、虛擬化、抗脆弱製造」 超級連接的、動態供應鏈、數據跨域流動的自動生產的工廠。（工業 6.0 定義，取自財團法人國家實驗研究院科技政策研究與資訊中心－6.0 From Industry X to Industry 6.0）。人類將從生產工人的角色，逐漸融入成為互聯網的一部分，處理智能化、優化的生產。

這樣的資訊力再進化，將會帶來更超高度依賴性的 IACS 工控環境。在這個工控系統服務的大環境下，不論是負責工控系統的管理者，亦或是各利害關係者（包括受惠於其所提供服務的全國百姓、或供應廠商、監管機關等等），彼此都密切關聯著。維護工控系統的安全保障，確保工控系統輸出的服務品質，也就成為攸關群體利益的總體目標。

列舉國外的重大事件案例，反思 IACS 工控系統安全風險控管

第一個案例：希臘的北部火車對撞，兩部列車在鐵軌上，為什麼會被引導到兩部火車去對撞？存在什麼樣的原因跟議題？分析可能原因不外乎：人為的錯誤跟工控系統技術故障，這種錯誤結果實屬慘烈。

第二個案例：美佛州淨水廠，其工控系統與辦公室的電腦相連接，控管很輕鬆，在辦公室椅子上就可以調整氫氧化鈉的濃度，放到大家飲用水庫裡面。但是問題在於，第一，沒有安裝防火牆，作業系統是 Win 7，被駭客入侵之後把它調高到 111 ppm、調高了 111 倍變成強鹼。此屬於典型的跨領域攻擊、從 IT 系統跨到這個 OT，卻攸關整個城鎮用水用戶生命安全的問題。

第三個案例：西班牙核安全系統遭駭客入侵，導致國家幅射警報網路系統好幾個月無法立即對幅射激增事件做出回應，整個國家暴露在核安威脅當中而不自知。最後逮捕駭客是外包商前員工，這就是人為、控管的問題，部分也有技術面問題。

IT 與 OT 的資訊安全系統意識之演進

通常在資訊安全管理系統導入之始，普遍都能理解 IT（Information Technology）的重要性，注重資訊系統、資料庫、網路的安全性，然而這僅關係到資訊資產的損失；反觀 OT（Operational Technology），或所謂的 IACS，是攸關生命威脅或關鍵基礎設施的供應，一旦有所疏失所引發的可能會是大型災難性的影響，不可不慎。

若以驗證機構視角觀察國內導入資安的國際標準管理進程：初期以資訊產業為主，接著為大型產業、公部門、學校、醫療、基礎設施等自主性導入；隨著資安危機及政府法規要求，再全面性地展開，但大多也僅止於 ISMS 之 IT 領域之進展（包含立法的意識）。

然而在 OT 領域仍然有許多關鍵的工控系統，卻僅僅以內控方式進行，因此可能還存有客觀、未知之風險，在內控過程無法完全地被識別。

盤點全球工控安全或者資安事件發生頻率升溫，工控相關的安全事件也有越來越來多的趨勢。

此外，驗證單位在 IT 驗證服務過程當中，對於範圍外之 OT 跟其關聯之邊界，僅能進行有限之約束或提醒。例如進行 ISO 27001 驗證時，只限於範圍裡的系統進行相關驗證，畢竟稽核時間及授權有限。驗證公司即使在 IT 與 OT 相連接的部分發現隱憂與風險存在，也僅能依照國際標準對於邊界的部分提出約束跟提醒，無法進行 OT 領域之驗證。

因此，資安工作需要再進化，就必須要 IT + OT 完整的資安管理體系的導入，才有機會升級為智能化的成熟工業 4.0。這概念其實很普遍地被提出，但遲未有進展，可歸納以下主要因素：

1. 人力編制／人力資源受限；既有的人事制度、計畫預算制度等框架難以突破。

2. 部門協調及共同上級統籌困難。IT 在資訊部門，OT 在工控部門或是工程、總務部門，部門之間的發展、觀念或資源各異，人力、部門編組亟需統合 。

3. 技術有限，系統升級困擾等因素。例如外購系統的問題，20 年前購入當時非常先進的系統，人力資源及設備亦部署深及廣，若要改革將撼動到龐大預算、作業型態迥異及工作權等的議題，因此升級可能僅淪為一個念頭，但如今這個系統變成難以開啓，因為一旦網路打開，系統內將曝露太多的弱點，安全起見，如今只能保持「無法開啟的門」。

然而，成熟的工業 4.0，取決於 OT 通往 IT 網路之門是否有恆開之信心，要讓 OT 所收集相關的資訊分析、訊息評估，可以上傳到 IT 做高層的營業分析及決策管理，達成未來的跨境連結、跨境動態供應鏈的發展目標，因此以 IT + OT 完整的標準協同管理，才是最完善。

國際標準 IEC 62443 系列概念補足 OT 場域資安遵循

綜合以上：國內 OT 場域資安仍有風險存在，石頭是還在院子裡面，亟待正視。應當針對內外部議題做風險源頭的識別，進行相關的風險分析、威脅弱點以及控制措施。不論組織環境裡當前及未來遇到的衝擊（風險），都應做有效之控制。

而國際標準 IEC 62443 系列發展概念正是上述問題解決選項，IEC 62443 就是將整個供應鏈裡面的各個角色所應該要遵循的標準，個別條列並要求他們去遵循，最終再整合。

在安全標準發展來看，國際標準 IEC 62443 原本是 ISA 所研發的國際標準（工控標準）。後經國際電工委員會（IEC）評估後決議與 ISA 合作，將其列為橫向標準，應用範圍也已涵蓋廣義的 OT。

確保供應鏈資安可遵循的 IEC 62443 國際標準

IEC 62443 系列標準旨在保護工業自動化和控制系統（IACS）的整個生命週期，現已成為各產業普遍參考或採用的工業網路安全標準。最初是為工業過程部門開發的，但 IACS 技術是關鍵基礎設施的核心，運用領域和行業範圍不斷擴大，例如：運輸產業（公路、空運、水運、鐵道）、能源產業（電力、石油、瓦斯、水）、健康醫療產業、電信等基礎設施，也使 IEC 62443 系列標準應用範圍擴大。

IEC 62443 系列標準的終極目標是為協助使工控系統安全無發生災難之虞，運作順暢確保服務品質。系列標準的效益是以結構性方法處理資訊安全問題，降低工業控制通訊網路中存在的風險。其標準涵蓋技術參數制定、整合、運行、維護和停運各個階段的系統化網路安全方法。此外，標準預期建立相關過程以實現所有必要的技術資訊安全功能。它是以工業自動化及控制系統整體供應鏈開發的，可提供資產擁有者、系統整合商及組件供應商等可整合安全理念，共同遵循。亦可根據相關的專案範圍進行調整，支持營運策略，做為實現產品和系統全生命週期的資訊安全基礎。

此外，IEC 也直指 IT 標準不適用於 IACS 及其它 OT（運營技術）環境，因為其具有不同的性能、可用性要求及設備的壽命。對 IT 系統的網路攻擊本質上是經濟後果，而對關鍵基礎設施的網路攻擊也可能對環境造成影響，甚至威脅公眾健康和生命，潛藏災難性的威脅。

IEC 62443 發展現況

IEC 62443 從較全面的角度去設計系列標準，對於工控生態裡每個組成部分去做安全控管，所以涵蓋為數較多且相關聯之標準。

▲ IEC 62443 系統標準目前已發展分為四大部分，正在使用有 9 個標準。（右上角有紅色三角形者為可取得標準證書的部分）未來將發展成六大部分。

◆ 第一部份：解決整個系列共有主題的文件。

● 62443-1-1 介紹了整個系列中使用的概念和模型。目標受眾包括任何希望熟悉構成該系列基礎的基本概念的人。

● 62443-1-2 原規劃為整個系列中使用的術語和縮寫的主詞彙表。（目前無進度資料）

● 62443-1-3 原規劃為描述一系列源自標準中的基礎要求、系統要求和其他指導材料的量化指標。（目前無進度資料）

● 62443-1-4 原規劃為更詳細地描述了 IACS 安全的基礎生命週期，以及說明各種應用程序的幾個用例。（目前無進度資料）

● 62443-1-5 Scheme for IEC 62443 security profiles 預期內容為本系列標準之管理方案。（預劃 2023／11／1 發布）

◆ 第二部分：著重於與 IACS 安全性相關的策略和程序。

● 62443-2-1 描述了定義和實施有效的 IACS 網絡安全管理系統所需的條件。目標受眾包括負責設計和實施此類程序的最終用戶和資產所有者。

● 62443-2-2 提供了一種方法，用於評估可操作的 IACS 針對網絡安全威脅提供的保護級別，以及如何應用 62443-2-1 的要求。

● 62443-2-3 提供有關 IACS 程式修補管理的指南。目標受眾包括負責補丁管理規程的設計和實施的任何人。

● 62443-2-4 規定了對 IACS 系統和相關組件供應商的要求。主要受眾包括控制系統解決方案的供應商。

● 62443-2-5 原規劃提供了關於運行有效的 IACS 網絡安全管理系統所需條件的指南。目標受眾包括負責此類程序運行的最終用戶和資產所有者。

◆ 第三部份：處理了系統級別的需求。

● 62443-3-1 描述了各種安全技術在 IACS 環境中的應用。目標受眾包括希望更多地了解特定技術在控制系統環境中的適用性的任何人。

● 62443-3-2 解決了 IACS 的安全風險評估和系統設計。該標準主要針對資產所有者或最終用戶。

● 62443-3-3 為評估自動化系統提供的安全級別提供了基礎。主要受眾包括控制系統供應商、系統整合商和資產所有者。

◆ 第四部份：提供有關與 IACS 產品開發相關的更具體和詳細要求的文件資訊。

● 62443-4-1 描述了適用於產品開發的資安衍生要求。主要受眾包括控制系統產品和控制系統解決方案中包含的組件的供應商。

● 62443-4-2 包含一套資安衍生要求，這些要求提供了系統要求到所考慮系統的子系統和組件的詳細配置。主要受眾包括控制系統解決方案中嵌入組件的供應商。

◆ 第五部分：預計加入電能領域。

主因在於美國能源部（DOE）為了保護工業控制系統（ICS），遂與 ISA 協調成立電能 OT 安全標準文件工作小組，建議將 OT 應用程式化為 62443-5 安全標準應用程序。新增第六部分－評估方法，用於第二、第四部分，預計明年五月 1 日做發佈。

第五部份已建立標準文件工作小組，目前正與各方取得共識，已符以下目的。為電力系統開發了一種 OT 特定參考架構，為控制系統環境提供一種通用語言，可用於設計和評估安全應用程序。標準文件將用作設計、實施、測試和維護電能 OT 系統及其網絡安全功能的基礎。電能 OT 安全配置文件將免費向資產所有者、製造商、標準組織和其他行業利益相關者公開提供。

◆ 第六部份：分別為本系列標準提供了評鑑的分法。

IEC TS 62443-6-1 針對 Part 2-4：Security program requirements for IACS service providers 提供了評鑑的分法。

IEC TS 62443-6-2 針對 Part 4-24：Security program requirements for IACS service providers 提供了評鑑的分法。

▲ IEC 62443 持續發展第五、第六部分。

延伸閱讀：

>> 工業自動化和控制系統安全國際標準探討（下）