今年上半年勤業眾信(Deloitte)成功協助國內上市櫃製造業者,取得台灣首張ISA/IEC 62443-2-4及ISA/IEC 62443-3-3國際自動化工控通用標準認證證書。
今年勤業眾信所發布的《建構關鍵基礎設施的網路安全防護》報告中指出,亞太地區的關鍵基礎設施營運業者正面臨著,各樣式且不斷增長的資安威脅,包括近年來企業與機關單位聞之色變的勒索軟體威脅,甚至因國際政治因素,促使多起駭客集團進行的資安威脅攻擊,其行動背後為國家層級單位所支持,例如俄羅斯赫赫有名的駭客集團沙蟲(SandWorm)背後則為俄羅斯軍方的情報局支持。報告中也特別提醒,因應快速變化的資安威脅及供應鏈資安要求,為了避免企業產線因操作不當或資安意識不足情形,導致產線遭意外停擺甚至遭受其它生產線牽連,針對系統供應商及製造、代工、研發或是以工業生產為主的產業而言,工業控制系統 (Industrial control system, ICS)每個環節的資安對策至關重要。
您必須認識的ISA/IEC 62443
我國製造產業在國際供應鏈中扮演重要角色,不容置疑,如果企業能夠通過國際自動化工控通用標準的驗證,這不僅企業本身工控系統安全防護落實做到外,也同時晉升企業本身在國外市場競爭的優勢。以現行的資安認證而言,ISA/IEC 62443為目前全球唯一適用於各產業之工控網路安全標準,由國際自動化協會(ISA)制定並被國際電工委員會(IEC)採用,提供靈活的框架來解決和緩解工業自動化和控制系統產業供應鏈中的資安威脅:包含生產環境資安治理要求(IEC 62443-2-1)、工控系統機台設備防護能力要求(IEC 62443-3-3)、工控系統維護資安能力要求(IEC 62443-2-4)以及工業產品安全開發要求(IEC 62443-4-1/4-2)等,全面性協助各產業或任何擁有自動化系統企業強化工控資安防護能力。
國內上市櫃製造業者取得台灣首張ISA/IEC 62443-2-4及ISA/IEC 62443-3-3
以產業角度檢視,關鍵基礎設施的韌性強度,關係到社會的穩定和國家的安全,一但工控系統或網路資安防護力不足時,影響的層面是整個關鍵基礎設施的運作,並造成社會民生的重大衝擊。今年上半年勤業眾信(Deloitte)成功協助國內上市櫃製造業者,取得台灣首張ISA/IEC 62443-2-4及ISA/IEC 62443-3-3國際自動化工控通用標準認證證書。我們團隊透過自動化生產系統資產盤點、工控系統網路架構安全評估與機台設備維護流程改善等各作業階段,提升產線網路安全能量。透過標準作業流程制定,建立標竿運作機制,以確保生產環境具備完整且一體化的作業制度以及網路安全架構區隔設計,從根本強化自動化生產系統資安防護能力,保障機台設備生命週期安全管理並確保與國際供應鏈資安標準接軌。
勤業眾信持續協助企業符合產業標準(如半導體設備安全標準SEMI E187),在工控系統(ICS)、工業物聯網(IIoT)、5G領域等提供解決方案,協助客戶建立整合資訊單位與生產單位的網路安全計畫。因應隨之而來的工控系統智慧化以及資訊系統的整合控制,導入國際自動化工控通用標準並取得認證,除了加強企業自我安全防護能力外,進一步提昇安全的防護韌性,維持系統穩定的營運不中斷。
本文作者目前任職於勤業眾信聯合會計師事務所 工控系統資安諮詢服務負責人
https://www2.deloitte.com/tw/tc.html