從近幾年國際間物聯網遭受攻擊的事件來看,國際知名的車廠、半導體業、鋼鐵業等,陸續爆發重大資安事故,例如德國工業大廠ThyssenKrupp,為全球規模最大的鋼鐵製造商之一,同時也生產軍用潛艇與戰艦,攻擊者入侵工廠環境竊取資料,明顯是商業間諜所為。
台灣高科技製造業聞名全球,當然也是駭客組織覬覦的標的,背後目的不論是竊取商業機密、勒索高額贖金,抑或是政治手段,對產業而言皆可能影響到正常營運收入,使企業不得不正視外部威脅風險議題。IBM台灣資訊安全部資深技術顧問康凱雄舉例,台灣半導體龍頭台積電,自從2018年產線遭遇勒索軟體感染事件後,便成立供應鏈資安聯盟,制定機台資安標準,以強化整體資安防衛能力。
對於公司治理,台灣企業主要是依循國際組織經濟合作暨發展組織(OECD)提出的原則,若以資安韌性(Resilience)看公司治理架構,台灣普遍導入的ISO 27001標準框架,已為組織資安體質奠定基礎。近幾年因應重大資安事故頻傳,企業開始參考美國國家標準與技術研究所(NIST)提出的網路安全框架(CSF),在既有的辨識、保護、偵測機制以外,增添回應與復原的標準作業程序,以保障企業組織的永續發展。
企業組織的管理階層對於資安議題所制定的相對應策略與投資,如今已成為國際信評機構的指標項目之一。康凱雄引述經濟學人智庫(EIU)發布的全球數位韌性管理報告,於2018年訪談全球452位負有資安相關管理責任的董事會高階管理人,發現,有三成受訪企業曾在一年內遭遇過嚴重的資安事件,且大多認為未來一年中再度發生的機率很高,顯示資安事件所引發的財務與聲譽風險規模已成為董事會最為關注的重點。
當前資安議題大致分為Cyber Security與Information Security,康凱雄說明,從數位韌性的角度來看,旨在評估企業遭遇到資安事件時的存活率,IT管理者或資安長過去探討防護思維較傾向戰術面,必須轉換到戰略面,以獲得董事會或高階主管的支持,才得以讓資安措施成為營運風險控管的一環。 物聯網的信賴度指標,可參考國際標準組織制定的ISO/IEC 30141架構,評估隱私、可靠度、人與應用場域的安全、韌性等特性。其中的韌性,指的是物聯網系統失能或失效後,持續自我監控與修復的能力。此外,資安界普遍採用MITRE ATT&CK框架來定義狙殺鏈在不同攻擊階段的活動行為,日前也針對工業控制系統提出ATT&CK for ICS,讓IT/OT人員藉此學習保護各種功能的連網裝置。
IBM台灣資訊安全部資深技術顧問康凱雄建議,物聯網安全首要原則即是掌握工業控制網路傳輸狀態。
至於實作方法,康凱雄歸納出三大原則,首要是掌握工業控制網路傳輸狀態,任何設備接取網路服務時得以在第一時間發現;其次是持續監看連線存取行為;第三是設定配置合適的權限。IBM設計提供的安全維運與分析平台架構(SOAPA),整合了Security Resilient與Security QRadar,正可成為輔助落實,提升安全防護力。