工業控制系統(ICS)的弱點大多存在於供應鏈、維運、設備彼此溝通、設備依存性、工程階段,必維國際檢驗集團(Bureau Veritas)立德商品試驗有限公司新事業發展處技術經理李培寧指出,若參考全球普遍採用的IEC 62443標準制定風險控管計畫,將有助於改善工控場域不同環節的弱點,打造國際認可的工控資安防護。
李培寧說明,當前供應鏈潛在的安全疑慮,核心問題是韌體大多採用開源套件開發,漏洞過多恐導致最終用戶受駭,甚至美國白宮發布行政命令(EO 14028)中提及,政府採購有權要求技術供應商提供兩年內的軟體物料清單(SBOM)。面對此趨勢,企業可藉由IEC 62443-4-1準則來確保產品開發流程的安全性。
針對工控維運的弱點,IEC 62443-2-4規範可用於指引企業建立工控系統資安計畫,以免產線停擺。至於設備彼此溝通的弱點,常見狀況是設備間通訊無須通過驗證、以明碼傳遞交換資料等狀況,極可能被攻擊者利用來滲透,亦可參考IEC 62443-3-3與IEC 62443-4-2指引進行改善。
必維國際檢驗集團立德商品試驗有限公司新事業發展處技術經理李培寧建議,萬一不幸遭受勒索軟體滲透,務必調查釐清攻擊入侵管道,再施以防護機制才可發揮效果
至於設備依存性存在弱點,遭攻擊時恐導致產線中斷,通過部署IEC 62443-3-3規範,例如儲能系統可避免因空調系統遭破壞引發公安危險。