隨著數位轉型浪潮,工業控制系統(ICS)的資安防護日益受到重視。資安專家指出,從基礎的密碼管理到完整的防護架構都不可忽視,特別是在電網、變電所等關鍵基礎設施領域。
Moxa泛亞暨台灣區總經理林世偉指出,目前全球工業領域普遍採用IEC 62443標準,這套標準提供了從設備、系統到營運各層面的完整資安架構。
工廠拚智慧、無人化 資安意識還沒跟上
但最基本的問題經常被忽略,林世偉說,「我們發現很多客戶買了設備後,從來沒有更改過預設密碼。」他解釋,這反映出產業界資安意識仍待提升,「不只是工廠客戶,即使是一般消費者,買了路由器或其他智慧家電,也不一定會去設定密碼。」林世偉強調,根據IEC 62443規定,設備商必須在設備首次開機時提醒用戶更改原始密碼。
除了基礎防護,資安維護還需要長期投入。林世偉表示,Moxa的做法是在設備保固期間(通常為5年)持續提供資安更新檔,並配合客戶需求進行定期的資安掃描,「資安不是單純販售設備就結束了,而是要確保設備在5年、10年的使用期間都能維持安全性,這才是真正的挑戰。」
林世偉認為,Moxa真正的挑戰,是配合各產業客戶的不同資安標準。公司正在研究半導體業用的E187標準,電力產業則採用IEC 61940,這些都是從IEC 62443衍生出來的產業專門標準。「許多產業都會以62443為基礎,再延伸出符合該產業特性的標準,」林世偉說,特別是在石油、煤礦等油氣水電產業,由於涉及更高的安全風險,其資安標準相對更為嚴謹。
政府從稽核制度著手 強化產業資安意識
新任數發部資安署署長蔡福隆本周在記者會中強調,將透過「建立CI資安防衛體系」強化關鍵基礎設施的資安防護,範圍涵蓋能源、通訊傳播、交通、水資源等重要領域。他表示,將加強營運技術(OT)人員培訓、建立團隊深度檢測能力,並持續蒐集各領域威脅特徵。 (相關報導: 川普上任滿月,當初狂熱的「川普交易」怎麼了?一文看懂美元、股市、債市表現 | 更多文章 )
資安署表示,未來將持續完善關鍵基礎設施的稽核制度,包括邊界防護、供應鏈委外管理、業務持續運作規劃等面向,預計每年將擴大遴選約20個機關進行實地輔導。
