取得工控國際資安認證有助企業符合供應鏈資安要求
根據勤業眾信日前發布「建構關鍵基礎設施的網路安全防護」報告,亞太地區的關鍵基礎設施營運業者正面臨著各式各樣且不斷增長的資安威脅,這些威脅包括不具針對性但具有破壞力的勒索軟體,甚至因國際政治促使多起攻擊行動背後皆為國家層級資助進行,使得全球關鍵基礎設施營運業者更注重工業控制資安。
為了降低其網路風險,工業控制系統(亦稱自動化生產系統)環境的資安把關愈趨需要受到重視。因應資安危機所帶來的快速變化及供應鏈資安要求,為了避免產線因操作不當或資安意識不足情形,導致產線遭意外停擺甚至遭受其它生產線牽連,對系統供應商及製造或工業生產為主的產業而言,工業控制資安對策至關重要。
勤業眾信執行副總簡宏偉表示,關鍵基礎設施的韌性關係到社會的穩定和國家的安全,近年來國際發生多起重大資安事件,很多都是因為工控系統或網路防護力不足,影響到整個關鍵基礎設施的運作,並造成對社會民生的重大衝擊。
而隨著工控系統的智慧化和網路化,以及和資訊系統的整合控制,導入國際自動化工控通用標準並取得認證,除了可以加強自我安全防護能力,並且也能進一步提昇防護韌性,維持穩定運作。此外,我國產業在國際供應鏈中扮演重要角色,通過國際自動化工控通用標準的驗證,也能增進我國產業的競爭優勢。
就現行的資安認證而言,ISA/IEC 62443為目前全球唯一適用於各產業之工控網路安全標準,由國際自動化協會(ISA)制定並被國際電工委員會(IEC)採用,提供靈活的框架來解決和緩解工業自動化和控制系統產業供應鏈中的資安威脅:包含生產環境資安治理要求(IEC 62443-2-1)、工控系統機台設備防護能力要求(IEC 62443-3-3)、工控系統維護資安能力要求(IEC 62443-2-4)以及工業產品安全開發要求(IEC 62443-4-1/4-2)等,全面性協助各產業或任何擁有自動化系統企業強化工控資安防護能力。
以近期勤業眾信完成的服務案例為例,成功協助上市櫃製造業者取得台灣首張ISA/IEC 62443-2-4及ISA/IEC 62443-3-3國際自動化工控通用標準認證證書。團隊透過自動化生產系統資產盤點、工控系統網路架構安全評估與機台設備維護流程改善等各作業階段,提升產線網路安全能量。
透過標準作業流程制定,建立標竿運作機制,以確保生產環境具備完整且一體化的作業制度以及網路安全架構區隔設計,從根本強化自動化生產系統資安防護能力,保障機台設備生命週期安全管理並確保與國際供應鏈資安標準接軌。
勤業眾信未來亦將持續協助企業符合產業標準(如半導體設備安全標準SEMI E187),持續在在工控系統(ICS)、工業物聯網(IIoT)、5G領域提供解決方案,協助客戶建立整合資訊單位與生產單位網路安全計畫。(文章由勤業眾信聯合會計師事務所 工控系統資安諮詢服務負責人 簡宏偉撰寫)