生命科學企業在疫情期間凸顯出其對於全球的重要性,並無時無刻不遭遇著獨有的網路安全風險。這些製造系統所在的高度驗證的環境通常為全天候運作,故標準的生命週期時限並不適用,且一般來說,這些系統無法及時施行安全更新。
此外,許多製藥公司與生技製造公司都面臨著諸如壓低成本、適應市場需求以及提升旗下所有產品的品質等許多壓力。隨之而來是加速採用數位技術、互聯更密切的系統與精密自動化製造程序,以設法滿足對敏捷製造能力與增強資料完整性遵規而實施的事業計畫。不過,這些數位轉型計畫透過將威脅發動者的攻擊面擴大到針對關鍵任務系統,而這些系統當中有許多是以過時作業系統運作的舊有系統,使得風險安全之衡量更添複雜度。
不幸的是,隨著威脅局勢逐步演進,生命科學產業內有許多製造組織已受到網路攻擊,包括勒索軟體。這些資安事故會產生嚴重後果並對事業造成重大衝擊。
2020年尾聲,總部設於盧森堡的一家製藥公司Favera宣佈其為網路攻擊受害者,且營運因此被迫中斷。雖然不清楚該組織花費了多長時間來恢復運作,但此事件已對其製造與消費者供應造成不良效應。
也別忘了2017年對默克藥廠發動的NotPetya攻擊,據稱導致默克藥廠蒙受了14億美元損失。
何以迫在眉睫
因網路攻擊招致的停機時間代價高昂且使生產停頓。然而這不僅只限於財務或智慧財產上的損失,影響所及更擴大至社群。每年有多達數兆的藥品(包括藥物和疫苗)被運送至醫院和全球市場,為我們的至親如父母和子女等提供醫療支援。設想這些藥品的巨幅消耗量,我們每天的生活都仰賴生命科學公司致力於確保產品的穩定供應和品質無虞。
這些製造營運對我們的經濟體至關重要。然而,許多威脅發動者出於多種不同因素而發動網路攻擊,諸如財務利得、情報刺探或競爭優勢等,這些發動者明瞭何以迫在眉睫與諸多生命科學製造設施面對精密威脅與先進戰略和技術時所呈現出的漏洞。
風險減災步驟
所幸,可採取一些將網路攻擊的風險減災的步驟,並提升您整體的網路安全狀態。下述係為根據生命科學網路安全評估所示反覆暴露的情況所提出的一些建議的行動範疇。請在閱讀這些問題之際,思索您所在組織當前的常規實務,以及您的網路安全旅程屆於哪一個成熟度階段。
- 如何整併IT與OT利益關係者?-您必須要共享來自雙方的領域知識和經驗,從而評估風險與將其減災。運用如NIST等網路安全框架,借助於跨部門團隊的合作(IT人員、安全SME、控制工程師以及可信賴的第三方夥伴)以識別出您IT/OT安全狀態的不足之處。利用此框架開發或維持統合策略,藉此處理融合的IT與OT環境。
- 要如何優先處理安全性漏洞?-必須高效率做出風險減縮決策,獲取在風險迴避投資上的最大報酬。利用據風險評判的方針將漏洞排定優先次序,再根據重要性層級或資產持有者的風險耐受度,擬定排除漏洞的策略藍圖。並非所有ICS弱點都同享相同的風險層級;應與風險保持一致。
- 你是如何保護主場優勢的?您必須具有特定至您的OT/ICS環境的可防禦架構。許多針對OT的攻擊通常始於IT環境中,然後才轉向OT。您可實施整合了領先型實務如下的現代網路安全架構:
- 產業非軍事區FW/IT-OT網路區隔和微切分架構,用以防護OT圍籬與OT內高價值、易受威脅的資產-參見此CISA範例。
- 身分識別與權限管理,藉以實行存取權限和密碼政策
- 透過多重要素驗證來增強遠端存取連線時的安全
- 對端點裝置進行防護,以強化資料完整性和安全性
- USB安全性控制,藉以推行卸除式媒體政策
這讓您得以運用多層次防衛策略,輔助排除未獲授權的使用者。
- 您如何維持狀態感知?-首先要掌握您自身OT/ICS環境的狀態,才能有效對威脅做出因應。確保部署可持續運作的威脅監測控制,偵測您OT網路內異常或可疑的活動。保持資產庫存處於最新狀態,並建立起基準點可在非授權裝置或使用者進入網路時,向安全團隊發出警示。
- 您對於處理事件回應的準備完善度?-您能否果斷應對安全事件,取決於您的組織完備度。建立聚焦於營運復原力的事業不中斷計畫,並執行兵棋推演以對這些事件應對手冊進行「實戰」前的壓力測試。透過情境問題所做的角色演練,例如:
- 該廠房能否隔離並以自主方式運作?如果是,可運作的時間多長?
- 廠房人員是否清楚在隔離期間要運作或著重的產線為何?
- 在安全漏洞或事故期間,哪些重要利益關係者必須或取得授權以及時做出關鍵決策?
- 有哪些專門的OT/ICS資源列入保存,以供事件應對調查和矯正活動之用?
- 如予以消除,相較於償付可能的勒索軟體費用,災害復原或從攻擊後重建所需時日為多久?演練如何實戰也如何,因此請做好準備。
- 如何驅動文化意識?-您最大的威脅(通常非有意為之)來自組織內部。定期舉辦網路安全意識的人員訓練,包括密碼保全措施和網路釣魚電子郵件的練習。
洛克威爾自動化協助鞏固生命科學事業的營運安全洛克威爾自動化協助鞏固生命科學事業的營運安全
洛克威爾自動化擁有歷經驗證的生命科學網路安全解決方案,以及深度自動化專業。我們更擁有厚植的後勤實力,以無與倫比的成效讓OT環境即使橫跨全球眾多廠區,仍能以一致化方式推動繁複的網路安全解決方案。
事實上,在《財富》雜誌全球500大生命科學公司當中,有95%倚賴洛克威爾自動化協助提升產品品質、降低損失和風險,以及最佳化生產營運。
舉例而言,我們與一間全球規模的製藥公司攜手合作,將網路安全標準改良以支援更快速的發展成長。我們透過涵蓋世界多據點交付的周詳服務,建立起標準網絡及IDMZ基礎設施藍圖,作為生產量分階推行之支援。
另一間全球製藥公司需要在短時間內以可擴充的全方位OT網路策略,達成可量化事業風險下降之目標。對於這間公司,我們:
- 在全企業64個廠址推動網路區隔
- 部署威脅偵測服務,以獲取已裝設基礎網路資產的每日庫存
- 透過應用程式「允許清單」和USB隨身碟清理技術,開發為OT環境內集中化安全管理可攜式媒體所制定的端點安全策略
採取行動來降低風險
探索更多有關洛克威爾自動化如何輔助生命科學事業的網路安全服務和解決方案,減輕對於事業組織及其客戶可能之風險。
- 利用我們的DIY工具評估自身網路安全完備度,並且了解如何對比自身與超過100間工業組織之完備度。
- 下載網路安全計畫範本的範例。
