TÜV NORD力推S4S服務 助客戶打造工業4.0的基石

TÜV NORD全球功能安全技術總監Mr. Gerhard Rieger & 大中華區功能安全產品經理黃浩鈿。

隨著工業4.0的發展，未來的產品、生產設備和重要基礎設施都將具備連網功能。這些互連的系統需要完整的保護機制，才能有效抵禦日益猖獗的網路攻擊。若無法確保系統的資訊安全性(IT Security)，便可有能會對產品的功能安全性(Functional safety)帶來影響，因而造成重大的損害。

有鑑於此， TÜV NORD漢德公司率先提出Security 4 Safety(S4S)的概念以及相關服務，強調資訊安全性與功能安全性的關連性，並透過結合旗下不同事業單位的資源，提供完整的解決方案，以因應新興連網世代對系統安全性帶來的風險。

結合Security與Safety  實現有效的風險管理

TÜV NORD全球功能安全技術總監Mr. Gerhard Rieger解釋說，傳統以來，功能安全性(functional safety)與資訊安全性(IT Security)是涇渭分明的兩個領域。前者強調工業設備、汽車、消費性產品的功能是否妥善設計，不會影響人身安全；而後者，則主要是指資訊設備的安全保護，以免於駭客的惡意攻擊與資料外洩等。

但現在，隨著工業4.0的來臨，越多越多的工業設備與製程都具備連網功能，因此使得這兩個領域的重要性開始結合在一起，功能安全性與資訊安全性已密不可分，必須做整體的考量，才能真正確保真正的整體安全。

他強調，「數位化(digitalization)是未來工業4.0發展的核心關鍵。然而，日益增加的網路連結會為產品安全性帶來新的、更嚴苛的挑戰。例如，生產流程的介面標準化等重要需求，目前仍尚未抵定。但是，工業4.0的數位化流程必須開始進展、並確保其安全性。不管是能夠自動交換資訊的機器或車輛，這些終端裝置的身分都必須能清楚的確認，同時所有來自外部的未授權影響(網路攻擊)都必須避免，才能使系統的安全性得到確保。」

顯然，這將對業者將會帶來新的設計考量，一方面，除了既有產品新增的IT介面需確保其安全性之外；多樣化新產品的興起，例如各種智慧家庭、智慧電表、物聯網裝置等，都需要遵循新的安全規範，才能真正的擴大運用。

「資訊安全會影響功能安全性，最顯而易見的範例是最新的連網汽車甚至未來的自駕車。它們都需高度依賴網路取得資訊來協助駕駛，若受到網路惡意攻擊，會影響正確的判讀，因而對車輛的功能安全性帶來危險，甚至釀成傷害。其他，像是發電廠、或是各種的生產工廠，更應確保其資訊安全性，以免因為故障而導致損失或災害。」

因此，對新一代連網設備來說，我們必須確保其資訊安全性，才能真正保障其功能安全性，這也是TÜV NORD力推Security 4 Safety概念的原因。

運用S4S(SECURITY 4 SAFETY)風險分析工具  因應IEC 62443標準需求

大中華區功能安全產品經理 黃浩鈿表示，為了因應工業自動化與控制系統的資訊安全需求，國際電工標準委員會(IECEE)已制訂了IEC62443國際標準，在2005年發佈第一版之後，已於2013年推出第二版，並在2015年建立了網絡安全評估的檢測與認證計劃。

此標準最早是從ISO 27001衍生出來的，但已重新制定，以專注於工業自動化與控制系統(IACS)領域。有別於用來規範伺服器機房等整體資訊環境管理系統建置的ISO 27001標準，IEC 62443標準旨在提升企業內部流程與SCADA(數據採集與監控系統)環境的數位安全性。遵循此標準，能為公司的生產環境流程提供更高的網路安全性，以抵禦各種駭客攻擊。

Rieger補充說，隨著工業4.0的進展，IEC 62443標準的重要性將日益提升，雖然目前仍在推行階段的初期，採用的廠商仍然不多，但必定會成為未來的重要趨勢。

為了協助業者因應自動化與控制系統的資訊安全挑戰，TÜV NORD已經開發出一套易於使用、可客製化的S4S風險分析工具，它能各種軟？硬體環境中執行，以用來找出網路弱點，並提出相應措施。

Rieger指出，TÜV NORD集團旗下的TÜV IT擁有頂尖的晶片卡安全性測試技術與設備，可透過灌錯(fault induction)、SPA(簡易功率分析)、DPA(差分功率分析)、以及DFA(差分錯誤分析)等多種方式來檢查硬體的安全弱點。結合TÜV NORD集團旗下資訊安全與功能安全的資源與方案，我們將能提供完整的解決方案，協助客戶提升整體系統的安全性。

歐盟為防恐攻針對重要關鍵基礎設施(Critical Infrastructure)的防護已頒佈指令要求(2008/114/EC)， 未來各成員國將陸續頒佈相應的法規與標準以確保社會功能、健康、安全、保全及經濟活動的正常運作，其中電子電機及資訊系統的功能安全與資訊安全將伴著演影響成敗的關鍵角色，對出口導向的台灣需盡早因應，政府部門也應找尋相關的參考依據。

掌握新興商機　台灣業者應及早因應

針對台灣市場，黃浩鈿表示，「TÜV NORD在台提供ISMS資訊安全認證服務已有超過10年的時間，主要客戶群涵蓋政府機關以及企業組織，市場地位穩固。我們將以此為基礎，從2017年起積極推動IEC 62443標準認證服務，特別是針對半導體產業。」

「由於工業？車用市場快速成長，對台灣的半導體業者來說，若要掌握高階產品商機，勢必要遵循相關的標準才有可能。以ADAS(先進駕駛輔助系統)這類車用產品為例，除了最新的功能安全標準之外，下一步的資訊安全性，也將會納入。」

所以，最新的車用功能安全性ISO 26262標準以及工業自動化系統資訊安全IEC 62443標準認證服務，都將是TÜV NORD未來積極擴展的市場。同時，也是TÜV NORD相較於其他同業，可提供結合IT與功能性完整服務的競爭優勢。

Rieger表示，我們可為客戶進行差距分析，具體分析其既有流程與ISO 26262或IEC 62443標準的差距，協助客戶規劃建置時程。此外，我們可為客戶的產品提供相關的管理認證服務。

「針對IEC 62443，我們在歐洲已有實際的客戶經驗。隨著工業4.0以及物聯網市場的興起，從晶片、設備、雲端到基礎架構都需要確保資訊安全性，而其應用也將涵蓋醫療、風力、能源、汽車、半導體等各種產業，是商機非常龐大的市場。」

「技術的匯聚與融合，將會帶來更多新的產品與應用。也因此，對於功能安全性與資訊安全性的要求也將越來越多。我相信，未來5年內，這兩項技術將會有非常長足的發展，相關人才也將會供不應求。對台灣業者來說，現在正是投資於S4S人才與技術能力的最佳時刻，才有機會開創出新的商機與客戶，保持產業的競爭優勢。」