備戰工控與車聯網資安威脅 應掌握最新標準並提早布局
工業物聯網帶動的製造業數位轉型、以及透過車聯網實現的自駕應用,是現今產業的重要發展趨勢與商機。尤其是,隨著5G正式商轉,憑藉著其低延遲與高速傳輸特性,業者對於它將推動的市場成長潛力更是寄予厚望。
然而,在市場蓬勃發展的同時,另一方面,各類連網應用所帶來的資安威脅卻也日益嚴峻。近來,製造業成為駭客攻擊目標的新聞已時有所聞,可以想見,當萬物聯網世代來臨,更將帶來倍增的風險。因此,不論是對競逐物聯網商機的供應商、或是推動數位轉型的製造商來說,如何因應新世代資安需求已是不容忽視的重要議題。
對此,TUV NORD漢德公司日前在接受採訪時,詳細說明了針對工控資安所制定的IEC 62443、以及針對汽車電子所制定的汽車軟體流程與功能測定ASPICE和汽車網路安全ISO/SAE 21434標準,期望業者能了解這些最新標準的現況,提早部署,並真正地建立資安文化,不僅有助於掌握未來商機,更是公司安全營運的保障。
攻擊製造業將成趨勢 工控資安問題不可忽視
TUV NORD工業服務部資深技術經理林正偉表示,過去工廠主要重視功能安全性,以防止因機械故障造成人身危險。但當機台連網後,必須開始考慮因為資訊安全(Cyber Security)而對功能安全(Functional Safety)帶來的影響,而IEC 62443便是從此著眼,專注於規範過去OT(營運技術)所欠缺的資安標準,以符合IoT應用需求,這與IT領域行之有年的CC資安標準是不相同的。
TUV NORD產品驗證工業服務部資深經理廖仁傑亦補充說,62443標準開宗明義是要確保關鍵基礎建設,例如港口、電廠、碼頭、機場的可用性(Availability),不能因為資安問題而造成服務停頓,這與ISO 27001資安標準強調的資料保密性並不一樣。
這也是歐盟力推62443作為工控資安標準的原因,因為當駭客攻擊已升高至國家級層次時,如何確保基礎建設服務不中斷是非常重要的。同樣地,若把此概念延伸到被稱為矽島的台灣,若我們引以為傲的半導體供應鏈受到資安威脅時,也會為全球市場帶來衝擊。
由此,我們可以了解62443標準的重要性,以及它所想要解決的問題。然而,因為工控資安領域的範疇很大,62443標準的另一個特性是強調「防禦縱深」,採用多層防禦的方式,從最外層的管理系統,到內部的產品技術要求都有規範。若更縮小到實體面,網通產品的OSI七層架構,每一層都有防禦,可說是全面撒網,遏止威脅。
所以,從架構來看,62443標準包含了開發流程、產品、管理系統、服務等四大塊。對台灣製造業者來說,需要關注管理系統的建置,以確保連網機台的安全性,降低被入侵的風險。而對眾多的工控設備業者而言,由於全球工控大廠率先取得62443的標準,依循開發流程、產品方面的標準建置,才有機會獲得下一階段全球市場的入場券。
林正偉表示,雖然62443標準中的某些部分仍在發展中,但從IEC網站提供的發證數量來看,此新標準的接受度已日漸提升。2019年全球僅發出3張認證,2020年就已增加到超過40張。由於歐盟已規範,2023年底所有基礎建設相關設備都需遵循62443標準,預期此標準將日漸普及,業者應及早因應並對工控資安議題有更清楚的認識。
確保資訊與功能安全 車用電子的三大標準
在汽車網路安全部分,則有CSMS(網路安全管理系統)和ISO/SAE 21434兩項新標準。廖仁傑表示,從標準內容來看,我們可以說62443是CSMS和21434的母法,只是把62443拆解成管理系統的CSMS,以及著重技術與開發流程的21434。
因此,延續著62443強調可用性與防禦縱深的精神,CSMS和21434便是要全面確保汽車網路的資訊安全性。CSMS將於2021年1月起正式上路,歐盟也已規定從2022年起,所有新款(new-type)汽車需遵循CSMS,到2024年,則是所有新車都需遵循。
至於規範技術與開發流程的21434標準,由於62443也仍在制定中,目前僅有草稿版,可能要到2021年上半才會底定。儘管如此,在車廠的大力推動下,未來所有車電零組件業者勢必先做好準備,才能符合來自客戶的要求。
除了汽車網路安全之外,針對汽車電子還有ISO 26262功能安全以及汽車軟體流程與功能測定ASPICE需一併納入考慮。
林正偉表示,對台灣積極進軍車用電子市場的業者來說,21434、26262和ASPICE可說是汽車標準的鐵三角,缺一不可。
而在部署上,由於21434和26262較為偏重方法論,而ASPICE則是提供了可以串連開發流程的架構,因此,建議可先導入ASPICE流程,再以此為基礎導入21434和26262,可以發揮最大的效益。
廖仁傑亦表示,21434和26262都是採用工程V模型架構,在精神上是類似的。只是前者針對資訊安全,後者針對功能安全。而隨著軟體在未來自駕車中扮演了重要角色,再藉由ASPICE規範軟體開發,可為整個車電系統建構牢固的安全機制。而就國內汽車電子供應鏈來說,不論是晶片、軟體、模組和子系統的開發廠商,都需依照其屬性,針對21434,26262和ASPICE進行適合的標準建置。
最後,廖仁傑強調,不管是62443、21434或26262標準,它們制定的精神都在於:建立安全政策與資安文化。這必須是公司從上而下全面推行的,才能真正地在公司內部打造資安意識,而不僅是為了取得證照,拿到競逐市場的門票而已。
隨著未來幾年,各類物聯網應用將漸趨成熟,相信資安議題大爆發也必將發生。特別是,到2024年之前,這些新標準也都設定了上路時間表。業者的未雨綢繆,並積極建立資安文化,將是因應未來新世代安全挑戰與商機的必要條件!