安全與資安:不可只選其一

企業聯網中的安全與保護

多數關於工業物聯網(IIoT)、安全與資安的討論均是環繞兩個主題:能保護人員與設備的「智慧型」機器或製程安全,或是單獨討論工業控制系統資安。這樣的討論既重要也有意義。然而,太多的企業未注重常見資安風險所產生的潛在安全問題。

當土耳其輸油管線遭駭造成爆炸及30,000桶原油洩漏時,網路駭客便是透過關閉既有安全系統將警報關閉、切斷通訊並將線路中的原油過度增壓來達到其目的。

您必須思考並處理網路安全威脅對於您人員、基礎建設及營運周遭環境的衝擊。

地區性供水廠受到網路威脅入侵時,不僅洩露客戶資料,也造成無法解釋的閥門與管線移動,甚至修改了管理水處理方式與公共安全的PLC系統。

在工業生產中,安全與資安計畫是密不可分的。

我們許多客戶都運用IIoT技術遠端操作生產機器、透過無線操作泵浦站或是將工廠控制系統設備連線至IT基礎架構。而這已是未來的趨勢。如此讓他們能提升資產利用率、加速上市時間並降低整體擁有成本。不過,連線功能越強大,資安風險對安全的衝擊也越大。此時更好的企業風險管理便越顯重要。

整合安全與資安投入

安全與資安過去一向被分開看待,但兩者在分析與降低風險之作法中有許多相似之處。例如,安全與資安兩者在「存取控制」概念上便是相同的。在兩者之中,均會依企業慣例、風險管理作法、應用需要及產業標準制定政策與程序。

希望降低資安相關安全事件的製造商與產業營運者將需要以不同的思維來思考安全的意義。尤其,應開始思考安全與資安兩者之間的關係。其中會造成最大衝擊的有三個領域:

  1. 行為:除保護知識產權、程序與實體資產外,資安人員的所有作為均應以保護安全系統為其核心價值。同時EHS、營運與IT團隊間的合作也越顯重要。例如,這三個團隊應針對安全與資安合作發展出協同管理目標,並找出工廠控制系統的重要安全資料需求。同時因為強大的安全文化需要每一位員工參與,故企業均了解資安與安全間的關係。
  2. 程序:對於合乎規範的投入應符合安全標準(如IEC 6150861511)之資安需要。相對的,資安投入應遵循深度防禦法則並處理組織各層級的安全相關資安風險。深度防禦原則在IEC 62443(「工業自動化與控制系統資安功能」)系列標準(前身為ISA99)及其他標準中均有討論。
  3. 技術:所有安全技術均應內含資安功能。同時其也應採用能防護安全系統入侵及在發生入侵時能加速復原的資安技術。

降低風險

具有安全影響之潛在資安風險的項目其實非常繁多。因此,所有降低企業資安型安全風險的作為均必須先從找出企業本身的弱點開始。

此部分可透過進行安全與資安風險評估來完成,接著再比較相關報表找出那些資安問題對安全的衝擊最大。如此可讓您最有效處理您獨有的風險議題。

我們以在名為「以保護確保安全:保護人員、環境與重要基礎建設免於工業資安威脅」的白皮書中點出了一些製造業與工業營運者應建置的主要風險降低方法。

數位移轉的概念是透過將生產智慧帶給顧客讓其所有營運面向均能獲得評估與改善。也是一種為整個組織提供即時資訊分享與無縫合作的理念。

在這樣的契機下,連線點增加也讓資安威脅有更多突破點。您必須思考並處理這些威脅對於您人員、基礎建設及營運周遭環境的衝擊。IIoT既帶來機會、風險也能將您的安全與資安計畫做整體性整合以達到營運改善之目標。

Lee Lane
張貼 2017-8月-02 張貼者 Lee Lane, Chief Product Security Officer, Rockwell Automation
  • 連絡人:

訂閱Automation Today季刊

Rockwell Automation 和合作夥伴提供各種專業知識,可協助您設計、實作並做為您自動化投資的後盾。

訂閱

提供最新的工業自動化與資訊科技趨勢、案例研究與應用