智慧應用 影音
Microchip
電子時報行動版服務

立德國際讓資安認證成為企業助力

  • 孫昌華台北訊

AIoT數量漸多,對應的資安也漸受重視,從源頭程式碼到上線維運與各環節的監控,都是為了防堵駭客,避免企業資產遭受重大損失。立德國際長年深耕資安領域,在各領域提供顧問諮詢服務,近期更舉辦了「全球資安意識抬頭BV為跨域產業打造完善的資安防護機制」網路座談會,由旗下各領域講師深入分析物聯網資安趨勢與各種規範法條,協助台灣產業順利取的物聯網相關領域資安認證。

座談會一開始,立德國際總經理巴士凱就指出,物聯網在過去十年成為全球產業最重要的趨勢,近期開始商轉的5G更讓整體市場加速啟動,不過在萬物皆連的態勢下,製造、能源等以往相對封閉的系統,開始透過5G與物聯網與外部連結,這也讓資安問題隨之浮現。

近年來網路資安事件頻傳,系統如遭攻擊將帶來重大損失,因此目前各大組織都已制定出規範,台灣廠商得產品必須符合相關規範,方能順利跨入發展、取得訂單,BV台灣與BV全球在資安認證領域已有多年歷史,所提供的認證服務已協助全球多數企業取得相關認證,在此次座談會中,立德國際也將提供各種專業解析,讓台灣業者快速掌握物聯網的資安防護標準。

全面優化資安防護

必維集團/立德國際資深經理邱郁清「別讓資安的疏忽,成為勒索軟體的溫床」為題發表精彩演講。邱郁清先引用國際研調機構針對七大主要國家的調查,這七個國家的3,600家企業中,有2,400家以上遭受攻擊,而超過一半的廠商選擇支付贖金,由此可見絕大多數企業對現在的網路攻擊束手無策。

邱郁清進一步表示,這幾年網路攻擊範圍快速放大,能源基礎建設、資通訊、醫療、汽車...等不同領域的大型企業有被駭的記錄,而對現在企業而言,網路安全的重要性有三,一是網路釣魚、駭客攻擊、勒索軟體等威脅手法已快速精進,攻擊頻率也愈來愈密集,隨著企業對IT系統的倚賴漸深,這些攻擊對企業帶來的損失逐漸提高。

二是數位轉型已然成為企業永續經營的必要作為,在數位轉型中扮演重要地位的數據資料必須真實可靠且不被偷取,方能順利推動轉型。第三是現在已有多數國際組織制定網路安全規範,像是工業自動化及控制系統法規ISA/IEC 62443、汽車對應法規ISO/SAE 21434、醫療設備的ANSI UL 2900-2-1與IEC 62443等,上述只是眾多法規的一部分,這些規範上清楚表示出企業對網路安全的責任與罰則,未能取得認證的企業將失去該市場的商機。

面對如此繁複的標準與法規要求,立德國際提供了從產品測試、認證、檢查、全球市場使用權、諮詢等環節的完整一站式服務,近期立德國際就為工業網通大廠四零四科技頒發了台灣第一張工業網通廠商的IEC 62443-4-1證書,在全球案例部分,該公司則協助ABB HITACHI導入ISO 27001與IEC 62443,這兩大指標性案例說明了立德國際在物聯網以及工控資安的專業服務能量。

邱郁清表示,隨著物聯網的普及,網路安全在各領域的重要性快速提升,他建議企業在面對不同市場採用不同策略,對於新市場與新技術,法規仍不會強制要求特定標準,而是要求廠商符合完善的控制和流程並選用相對適合的標準,至於相對成熟的領域,則可使用各領域已經發布的具體或公認標準,藉此加快市場審批流程。現在政府與產業都認為資安即國安,台灣企業可善用相對應的在地資安法規、提升產品及公司競爭力與國際信任度,從而取得市場優勢。

精準掌握工控資安標準

工控系統的智慧化腳步逐漸加快,在此同時資安風險也相對提高,在「持續進化的工控資安標準」演講中,必維集團/立德國際資安專家林上智指出,過去十年工控系統與營運科技(OT)被攻擊的頻率快速增加,因應此趨勢,各組織團隊紛紛制定出相關規範,讓業界有完整的資安框架可依循。

林上智首先介紹在所有工控資安規範中最知名的IEC 62443,他指出此標準當初的設計是應用於連續加工的煉油廠、發電廠與製造業,之後交通、電網、建築管理等系統也被納入。此標準的框架包含了產品四部分,包括通則(General)、政策及流程(Policies and Procedures)、系統(System)及元件(Component),在這四大部分中,僅有政策及流程、系統、元件的部分規範必須通過認證。

林上智指出,台灣電子產業大多為產品供應商,因此對產品的應用場景有完整認知、掌握風險發生機率與資安脈絡,方能順利打造合乎客戶要求的產品。

IEC 62443已是工控領域最重要的標準,產業著手強化此標準的完整度與可用性,近期瑞薩電子、西門子、Toshiba 、 Hitachi 、四零四科技等OT大廠商打造 Linux 基金會官方開源專案「城市基礎建設平台」,讓業界廠商可藉此提升包括資安在內的產品功能。林上智另外提醒業者,IEC 62443還須與其他IT標準搭配,方能優化整體系統的資安防護效能。

超前部署物聯網/車聯網資安架構

除了工控之外,物聯網與車聯網也被多數廠商式微重點布局市場,必維集團/立德國際技術經理李培寧在「面對物聯網/車聯網資安挑戰如何超前部署」演講中提到,近年來聯網設備的數量大增,其中物聯網與車聯網裝置但有極高比例,伴隨龐大的聯網設備架構而來是資安威脅,尤其是現在多數企業的資安意識不足,再加上採用的系統元件防範功能偏弱,導致系統門戶大開。

為了讓物聯網與車聯網的安全防護更完整,各國政府已訂出相關法規,產業組織則進一步將之列為標準,目前較知名的標準包括ISO/SAE 21434、EN 303 645、ISO/IEC 5230,其中ISO/SAE 21434是遵循聯合國UNECE規範的強化版,此標準特別規範了物聯網與車聯網的資安準則,EN 303 645制定消費性產品物聯網的最低資安要求,已是目前全球主流標準,至於ISO/IEC 5230則是對開源軟體使用的合規、合法有所規範。

李培寧最後表示,台灣如要進軍車電領域,必須優先符合ISO/SAE 21434,如果以家用或其他領域為主,則要通過EN 303 645認證,此標準除了歐盟外,新加坡與澳洲也以此標準制訂出各自的資安規範,因此EN 303 645未來有機會成為全球物聯網資通標準的核心,至於產品如果使用開源軟體,ISO/IEC 5230將是必要規範,對於上述標準,李培寧呼籲業者在設計、製造端就讓自身企業具備通過認證的能力,讓產品可以獲得客戶認可,藉此優化市場競爭力。