(中央社訊息服務20210803 15:55:02)美國總統拜登於2021年7月28日簽署一份正式備忘錄,美國政府未來將針對民營企業所使用的工業控制系統 (Industrial Control System, ICS) 訂定網路安全監管原則。例如提供工業控制系統相關的生產流程、製造流程、供應鏈流程、通路經銷流程、以及數據採集流程的系統供應商與設備商,其相關的網路安全防禦機制未來都必須納管。
由於2021年五月美國石油工業和食品工業的基礎民生服務受到嚴重的駭客威脅,拜登政府承諾採取具體行動。美國國土安全部運輸安全管理局立即頒布新規定,要求油氣管線的資產擁有者和運營商立刻實施緊急網路安全保護措施。拜登總統在7月28日的備忘錄發表記者會中表示,未來包括水處理、廢水處理、化工產業,以及其他重要的關鍵基礎設施,也將採取對等的具體安全防禦行動。拜登指出,這是一個建立國家安全的信任問題。人民期待基礎民生服務是安全可靠的,以及相信政府和私營部門的關鍵基礎設施防禦等級能夠防禦無時無刻的網路安全威脅。
備忘錄內容重點:
拜登在此次簽署的「改善關鍵基礎設施工業控制系統網路安全國安備忘錄」中,針對民營企業的工控網路安全防禦提出兩大方針:
1.設定網路安全防禦目標:關鍵基礎設施擁有者和運營商應遵循最佳安全實踐基準,以保護國家經濟安全 (security) 以及公共醫療安全 (safety)。美國網路基礎設施安全局 (CISA) 與美國國家標準技術研究院 (NIST) 將於2021年9月22日提出網路安全目標如何訂定的初稿。在與相關機構協商後,最終的跨部門目標和特定部門目標將在一年內完成訂定。
2.鼓勵擴大防禦技術和系統部署:鼓勵民營企業自願納入「正式」的工業控制系統 (ICS) 網路安全防禦計畫。防禦計畫範圍內的安全技術和系統須符合: (a) 提供網路威脅的可視性、決策機制、偵測能力和告警能力。(b) 提升重要工業控制系統和運營科技網路 (OT Network) 的安全意外事件回應能力。
儘管上述第2項的工業控制系統網路安全防禦計劃是聯邦政府和關鍵基礎設施社群之間自願性的合作,目前尚不具強制力,但政府對於未來的監管發展持積極態度。在備忘錄發布的新聞會議上,一位官員引述了若干電力公司的工業控制系統網路安全防禦試點計劃內容:「目前已經有負責 9000 萬居民用戶的150家電力公司,正在部署或已經同意部署工業控制系統網路安全防禦計畫。」
PwC建議企業對於即將到來的監管合規義務取得領先地位
資誠智能風險管理諮詢公司執行董事張晉瑞表示,保護工業控制系統免受網路威脅的第一步是了解企業關鍵業務流程,進而識別出所處產業可能遭遇到的特定風險。在識別出各種風險情境後,才能進而識別出安全漏洞可能發生的位置。例如,當企業在建構一個特定的生產製造流程時,在允許每個生產製造端的物聯網設備、工業製造設備或機台連接到網路之前,就必須採用盤點、識別、分析和評估等標準作業程序,來檢視每個設備或機台的運行狀況是否安全,並在適當的情況下,實施工控電腦系統資訊安全評估與工業控制系統資訊安全管理制度,以此實現對 OT現場環境技術面與管理面的最佳實踐。
而對於即將到來的國際監管合規義務,張晉瑞建議兩大重點方向,提供企業參考:
1. 與當地政府合作制定防禦目標和標準
●提供關鍵基礎設施中的特定企業有機會制定標準和目標,這些標準和目標很可能在日後成為政府監管要求。
●積極與當地政府合作,對如何處理工控系統網路安全問題建立策略與計畫。分享產業和運營知識,協助制定明確的安全防禦績效標準,最終建立起民眾與消費者所依賴之基礎民生服務的信任。
●推動基於風險的評估方法,與您各自的政府機構,供應鏈廠商合作,在資源有限的前提下,實現可帶來最大改善的基準和目標,並使民營企業能夠靈活應對不斷變化的網路安全威脅。
●將企業的影響力與產業協會結合。使用已有的最佳防禦機制和管理制度,協助推廣產業鏈建立IEC 62443、NIST CSF、或ISO 27001的企業資訊安全管理制度。
●如果企業所在的產業沒有任何網路安全的監管合規義務,請開始準備將這些普遍性的安全合規義務納入企業整體合規計劃。
2. 持續改進企業的網路安全防禦計畫
繼續改善組織的網路安全防禦計畫,這是企業主本身可以完全控制的。企業本身的網路安全防禦目標應反映出定期執行的電腦系統安全評估結果,以及每年管理制度所設定應持續改善的目標,使企業為利益相關者實現可持續之安全防禦成果。
張晉瑞指出,企業可透過以下的基本方向加強網路防禦,提升企業對於網路安全評估的意識:
●資產盤點:此方法可將易受攻擊威脅的資產與以具備防禦韌性的資產分開。例如在資誠的調查報告中顯示,只有少數的民營科技製造企業受訪者表示對於關鍵業務流程和資訊資產進行盤點。相對於此,在金融產業中,已有高達91%的受訪者在網路安全韌性方面取得優秀的表現,例如可定期保持準確的網路安全量測機制,並可根據特定需求或科技的更迭進行技術或系統更新。了解企業關鍵資產和關鍵業務流程是安全防禦的基礎。企業無法保護未經列管盤點的資產與流程。對於大型企業來說,IT與OT資產數以百萬計,連接數以億計,建議尋求專業的顧問協助,了解新的安全防禦技術來解決大量關鍵資產和流程盤點的問題。
●運營科技安全計劃:許多運營科技 (OT) 基礎設施仍然缺乏基本的網路保護。保護企業的 OT 網路需要與保護 IT網路 安全工具截然不同的防禦設備。例如,在企業的生產製造流程、產品規格、配方或醫療劑量的專用設備上修補安全漏洞,與修補一般的 IT 作業系統漏洞完全不同。
●網路分段:即使在對外網路保護機制完善的架構中,企業也需要一個內部網路分段架構來防止安全威脅在 OT 和 IT 系統網路之間移動,或者防止惡意程式在連通多個複雜業務流程環境的網路中暢通無阻。嚴謹且有目標的網路分段將使企業能夠在降低風險的同時,並獲得數位轉型的好處,例如提升效率、持續改善、更好的客戶體驗等。
●威脅偵測和回應:入侵檢測和意外事件回應機制通常是攻擊者想避開的目標,攻擊者希望可以在不被發現的情況下,存取系統並在內部網路中移動。調查報告發現,企業若未部署精良的防禦系統,識別和發現入侵行為需要長達數個月的時間,這足以讓未被發現的入侵者造成企業高度的損害。企業主已經意識這樣的現況必須改變。根據調查,提供即時威脅偵測與回應的系統,是目前僅次於雲端安全防禦,成為未來幾年高科技製造產業的投資重點。
張晉瑞建議,企業應採用符合OT/ICS產業特性的風險評估方法(OT/ICS cybersecurity risk assessment),藉此達成安全信任,韌性設計和全面啟動 OT網路防禦的目的,以協助企業領導者及其相關供應鏈,建構出合理的 OT安全防禦策略,確保企業可以快速並安全地享受工業4.0與智慧製造相關的產業創新,最終建立起民眾與消費者所依賴之基礎民生服務的信任。使個人,企業和社會可以放心地享受這些強大的新技術為全世界帶來的永續與繁榮。
訊息來源:資誠聯合會計師事務所