工業4.0世代的第三次安全革命 （上）

是「資訊安全」，或是「網絡安全」

 在ISO/IEC 27000「資訊安全」的定義是保護(或保存、保留)資訊的機密性(Confidentiality)、完整性(Integrity)和可用性(Availability)，而「網絡安全(Cybersecurity)」在ISO/IEC 27032的定義是一種免受物理(實體)、社會、精神、財務、政治、情感、職業、心理、教育或其他類型或在網絡空間(Cyberspace)可被認為不希望發生的故障、損壞(或破壞)、錯誤、事故、傷害或任何其他事件影響(或後果)的條件。值得注意，ISO/IEC 27032對「網絡安全(Cybersafety)」的定義與ISO/IEC 27000「資訊安全」的定義近乎相同，是在網絡空間中保護(或保存、保留)資訊的機密性、完整性和可用性。

扮演工業4.0、智慧製造和工業物聯網等命令與控制指令執行核心的「工業自動化和控制系統(Industrial Automation and Control System (IACS)」其定義依據IEC 62443-3-3是涉及工業過程運行的人員、硬體、軟體和策略的集合，它們可能妨礙或影響其安全(Safe)、保全(或保證、保障安全、牢固、或可靠) (Secure)和可靠的(Reliable)運行；其定義若依據IEC 62443-4-1則是涉及工業過程運行的人員、硬體、軟體、程序和策略的集合，它們可能妨礙或影響其安全、保全和可靠的運行。

從定義中，可以輕易地察覺IACS的重要任務和功能，其中「安全(Safe or Safety)」和「可靠的(Reliable)」是非常重要的兩個必須被保證或保障的任務目的，而這正呼應了在資訊業界大家耳熟能詳對於資訊科技(Information Technology, IT)的需求和挑戰依序是機密性、完整性和可用性，亦即所謂的CIA三角基柱，並相對於運營(或運維、操作)技術(Operational Technology, OT)的需求是AIC。

眾所周知，工業4.0、智慧製造和工業物聯網等必須融合IT和OT技術需求和挑戰，然而，我們面臨的真正技術需求和挑戰，是「資訊安全」還是「網絡安全」? 比較ISO/IEC 27000和ISO/IEC 27032對兩者的定義可知「資訊安全」或可包括「網絡安全」，但卻與「網絡安全」不盡相同。當加入IACS的重要元素之後，會發現此時的「網絡安全」與「資訊安全」的需求重點明顯產生區隔。

EUROSMART在2019年公佈物聯網設備驗證計畫(IoT Device Certification Scheme)，揭櫫「應透過以透明的方式提供有關資訊和通訊技術(Information and Communication Technology, ICT)產品、ICT服務和ICT流程的網絡安全等級(Security Level, SL)的訊息來進一步加強信賴(Trust)」，該聯盟範圍內的驗證提供一個共同的網絡安全要求和評估標準，適用於橫跨一個國家的和歐盟網絡安全法(EU Cybersecurity Act; ST 15786/18)第(7)節的領域市場，並促進了信賴的增加。在該驗證計畫中，提出基於風險的物聯網(Internet of Things, IoT)市場垂直分布架構，區分為IoT消費端的消費者、IoT服務提供端的企業、IoT設備製造端的工業、和對安全有衝擊影響的關鍵設備等進行網絡安全保證的級別驗證，並專注於IoT設備的實質性(Substantial)網絡安全級別驗證，其風險基準的級別區分如下：

1. 基本(Basic)風險 – 降低已知的事件和網絡攻擊的基本風險，適用於消費者：對隱私的影響；
2. 實質性(Substantial)風險 – 將已知的網絡安全風險以及由有限技能和資源的惡意者進行的事件和網絡攻擊的風險降至最低，適用於消費者：對隱私的影響、企業：對財務的影響，…、工業：對可用性的影響，…等；和
3. 高(High)風險 – 將具有顯著技能和資源的惡意者所進行最新網絡攻擊的風險降到最低，適用於工業：對可用性的影響，…、關鍵設備：對安全的影響，…，特別是對政府的特殊利益。

這裡必須提醒，與工業和安全關鍵設備相關的網絡安全保證等級，其驗證要求即便不是IoT產業目前首要的關注重點，但其風險卻是被歸類為高風險。從另一個角度觀察，工業和安全關鍵相關設備的網絡安全風險高度重視「安全」和「可用度」的保證要求，換言之，IACS網絡安全風險即高度重視「安全」和「可用度」的保證要求，並與「資訊安全」的風險保證要求產生明顯的差異性區別。

在台灣，官方現況採用「資通訊安全」這個翻譯名稱，或者被經常性簡稱為「資訊安全」或「資安」來論述這樣的技術需求和挑戰，這使得OT技術深具領域應用差異化特性的特徵被嚴重弱化或被忽略，並且「網絡安全」技術需求在OT各應用領域的差異性容易被忽略或混淆，並致使投入了錯誤的人力、資源和解決方案。因此，作者個人認為並建議台灣應針對「Information Security」和「Cyber Security or Cybersecurity」做出具體的區隔性中文翻譯，譬如使用「網絡安全」以方便與「資訊安全」或「資安」做出技術需求和挑戰的明顯區隔。

「安全保證」的前提是「網絡安全威脅的風險可以被確保」

 扮演IACS「功能安全(Functional Safety)」骨幹的IEC 61508標準，其適用的範圍和影響非常深遠，廣泛普及到使用「電氣/電子/可程式電子(Electrical/Electronic/Programmable Electronic, E/E/PE)」控制安全相關功能的應用領域，例如：

1. 製程工業應用 – IEC 61511；
2. 醫療裝置/設備/軟體 – IEC 60601, IEC 62304, IEC 82304；
3. 燃燒爐/加熱器/鍋爐 – EN 50156, NFPA 85, NFPA 86, NFPA 87；
4. 核能工業應用 – IEC 61513, IEC 62138, IEC 60880；
5. 機械工業應用 – IEC 62061, IEC 61496, ISO 13849；
6. 電力驅動系統(安全相關) – IEC 61800-5-2；
7. 道路車輛/汽車 – ISO 26262；
8. 軌道應用 – EN 50126-2, EN 50128, EN 50129, EN 50159, EN 50657, IEC 62278, IEC 62279, IEC 62425, IEC 62280；和
9. 其他領域應用：土方機械 – ISO 15998；農用曳引機 – ISO 25119；家電 – IEC 60730, IEC 60335；數位通訊 – IEC 61784-3；民用航空器機載軟體 – DO 178C；工業用機器人 – ISO 10218, ISO/TS 15066；防爆型氣體偵測器 – IEC 60079-29-1, EN 50271；電梯/扶梯 – ISO 22201, ISO/TR 8100-24, EN 115, ASME A17.1等。

在IEC 61508標準中，做出了以下涵蓋「(網絡)安全(Security)」的相關要求，彙整如下：

1. IEC 61508-1:2010條款2k – 「要求在危害和風險分析期間考慮惡意和未經授權的行為」；
2. IEC 61508-1:2010 條款4.2.3 – …如果危害分析辨識構成「網絡安全」威脅的惡意或未經授權的行為是可合理預見的，則應進行「網絡安全威脅分析」；
3. IEC 61508-1:2010第5.2節 – 應根據危害和風險分析得出的危害事件制定一套必要的總體安全功能，這應構成總體安全功能要求的規格；條款7.5.2.2: 如果已確認網絡安全威脅，則應進行漏洞分析以指定安全要求；適於採用IEC 62443系列標準或指南，並納入E/E/PE安全相關系統總體功能安全要求的一部分；和
4. IEC 61508-3:2010附錄D符合項目的安全手冊軟體元件的附加要求 – 第2.4節：以下內容應包括在安全手冊中 – m) 針對列出的威脅和漏洞，詳列任何已實施的網絡安全措施訊息。

這樣的需求，我們舉一個基於ISO 12100、ISO 14121和ISO 13849標準對於智慧製造機械安全風險評估的「安全」保證流程為例：第一步：經過風險評估，確認機械安全的設計安全需求或要求，並納入本質安全的設計措施並完成驗證；第二步：設計必要的保障、緩解和補充保護措施並完成驗證；第三步：製備在機器上和使用說明書中會使用的訊息或資料。從第一步到第三步都是由機械的設計和製造商負責實施這些防護措施並取得安全保證，當機械運交資產的擁有者或使用者並納入運營和維護階段時，必須保證這些保障安全和風險降低措施的績效及其完整性，以避免因為機械安全相關部件的失效或故障而導致降低或喪失防護、或降低風險的措施的後果，進而發生潛在的危害事件，對操作人員的健康造成損傷的「安全事故」。

然而，智慧製造的系統整合環境可能迫使機械面臨「威脅」，有機會成功或利用「漏洞(或弱點)」(例如介面、軟體病毒等)攻擊機械的命令和控制系統，進而導致安全相關系統的「網絡安全」風險，這將衝擊或觸發前述步驟一或步驟二所設計的「安全」風險降低或緩解的措施，使其失去應有的安全績效與完整性，導致了機械安全相關部件的失效或故障，從而引起一個所謂從網絡安全威脅誘發的安全事件；同時，此例也說明了「安全保證」的前提是「網絡安全威脅的風險可以被確保」的密切相關性。

這樣的相關性，其一可以從製程工業應用領域普遍使用IEC 61508、IEC 61511標準進行「功能安全」設計，並使用ISA TR 84.00.09技術指南使之與IEC 62443 IACS「網絡安全標準」銜接；其二可以從道路車輛領域普遍使用ISO 26262、ISO/PAS 21448/IEC 61508標準進行「功能安全」設計，並使用ISO/SAE CD 21434標準使之與IEC 62443 IACS「網絡安全標準」銜接窺見其內涵。

2019年IEC TC 44和TC 65技術委員會相繼公佈了「順序分析」和「並行分析」模型的設計對策，並為兩者的緊密關係作出了技術指導的註解：

1. IEC TR 63074 順序分析的「(功能)安全」和「網絡安全」設計(譬如適用於：工具機，網絡的威脅不會進一步影響到人身安全)

• 安全相關控制系統功能安全的網絡安全相關方面；
• 網絡安全分析目標僅限於安全設施；
• 在安全方面設計安全的設備；
• 網絡安全團隊對安全設施進行網絡安全風險分析並增加網絡安全措施；和
• 網絡攻擊不會產生新的危害，因為只有機器的物理性危害才會傷害人。

2. IEC TR 63069 並行分析的「(功能)安全」和「網絡安全」設計(譬如適用於：軌道的號誌網絡威脅，可能導致列車失控而出軌或撞車/翻車，特別是對於號誌採用如通訊式列車控制(Communications-Based Train Control, CBTC)自動化等級(Grade of Automation, GoA) 4的全自動無人駕駛控制系統；又譬如自駕車，網絡威脅可能導致車輛控制系統出錯而失控，同時危及乘客或大眾生命安全)

• 工業製程量測、控制和自動化 – 功能安全和網絡安全並行設計的框架；
• 同時進行安全和網絡安全的風險分析，並從保護內容中尋找風險等級；
• 根據風險分析結果設計安全功能的要求規範、規格和網絡安全功能的要求規範、規格；
• 對於安全設計的安全設施，進行額外的網絡安全分析；和
• 整合安全和網絡安全規範、規格，如果它們之間存在矛盾或競爭，則討論並解決和實施。

安全與網絡安全孿生的第三次安全革命

面對智能化製造工廠、智慧製造和整合物聯網、工業物聯網思維的工業4.0世代革命浪潮，在風險評估、處理和風險管理的需求上，我們被迫必須思考採取更高透明度的方式，將經濟和倫理道德面向的需求納入相關的風險控制和管理，以因應快速變遷的社會和環境，為其自身的特定需求和社會的期望找到解決方案或答案。在這方面所觸發新的安全挑戰，以化學工業應用為例，過去的事件或事故經驗顯示：多數的安全措施是被動的而不是主動的，企業間對安全問題的處理絕大多數都是出自個別公司或企業自行單獨思考、單獨處理或應對安全問題的挑戰，更別說有考慮到網絡安全的威脅風險。然而，從近年來層出不窮的網絡威脅事件，可知這種採取安全島(Safety Islands)的策略是無法因應來自企業體內部、外部、承攬商和惡意攻擊者的惡意行為，而必須改採取安全群集(Safety Clusters)的觀點來因應網絡安全威脅的安全風險問題。

這種思維模式轉換的需求，G. Reniers和N. Khakzad (2017)提出以下的問題必須獲得解答：

1. 在制定風險決策時，如何整合不同類型的風險(例如：多米諾骨牌效應、土地使用計畫、聯合自然與技術事故、和網絡安全風險)?
2. 如何從可持續的角度處理恐怖情況(例如：恐怖主義)?
3. 如何考慮決策的道德面向?
4. 如何使用大數據和即時監控來開發可用的且具有包容性的動態風險評估技術?
5. 如何提高有關實體和網絡安全的學術知識?
6. 如何真正推進協作和群集思維?
7. 如何以可永續的方式創新行業的安全性，從而同時考慮能源轉換、土地使用規劃、安全行為等?
8. 如何啟動和推進領域群集中的主動和被動合作策略?
9. 如何增加人們對安全的知識，例如：如何鼓勵學生攻讀特定行業領域知識的安全與網絡安全專業學門?

以化學工業為例，Swuste等人(2010, 2014, 2016)和Oostendorp等人(2016)認為自1900年計起，事實上已經歷經過兩次的安全革命：

1. 第一次安全革命: 又被稱為「安全第一運動」，自1900年代開始至1950年代末期。其中包括：安全第一；外部因素、不安全行為、易發事故；危害即是能量的概念、Heinrich/Bird安全金字塔致命事故、事故、傷害和輕微事件之間的1:10:30:600比率；外部因素、Heinrich/Bird多米諾骨牌理論、流行病學三角；人機交互、控制論、管理等；
2. 第二次安全革命：又被稱為「風險管理和損失預防」，自1960年代開始至2010年代末期。其中包括屏障、技術安全(設計和針對性防護或防禦(包括被動和主動的風險預防、控制或緩解措施))、風險評估和管理；注意人為錯誤/因素、組織文化、安全稽核、本質安全；風險管理 – 專注於安全與氣候變遷、正常(即未知但可預期的)事故、高可靠性理論；安全管理系統–潛在故障、瑞士起司保護層理論，解釋從安全飄移到發生危險的過程、領結(Bow-tie)模型；安全文化 – 製程安全指標、抗障性(Resilience)能力 – 動態風險評估；系統思考 – 系統性風險、Safety-I – 從錯誤中學習、反應性導向、避免事情出錯和盡可能少出錯和Safety-II – 從成功中學習、主動性導向、將事情做對和複製成功的經驗。

自2020開始，我們即將面臨第三次安全革命的挑戰，亦即採取合作和積極主動的策略、高度透明、教育聚焦網絡安全整合安全的創新。G. Reniers和N. Khakzad (2017)認為當前的方法和當代的思維、思考模式、技術方法和解決方案、安全性實施和進化的方式不足以回答前述列舉的思維模式轉換需求的問題或徹底改變安全性，因為這些從學術研究和工業實務中發現的演變趨勢，代表著通常是「更多具有相同的概念或方法」的「內在思維」趨勢變化，是對現有技術、管理實務、組織安排和人為因素的逐步改進和優化的做法。為了真正提高並徹底改變安全性，需要進行思維上的革命，找出「開箱即用」的方案，因此他們提出了5個重要領域、英文字首縮寫合併稱為「CHESS」的第三次安全革命，亦即

1. 群集思維和加強合作(Cluster-thinking and intensified cooperation)；
2. 高透明度和高效檢查(High transparency and efficient inspection)；
3. 教育、培訓和學習(Education, training and learning)；
4. 網絡安全整合(Security integration)；和
5. 安全創新和動態風險評估(Safety innovation and dynamic risk assessments)。

    其中，第四個領域網絡安全整合將過去產業界的保全或保安著重在人員保安、機密性維持、防止或預防竊盜和破壞活動、以及脆弱的反恐安全實務，鮮少重視製造現場除了「資訊安全」領域IT構面以外屬於OT構面的IACS「網絡安全」風險的控制和管理。這是一個革命性領域的實踐挑戰，我們知道網絡安全威脅風險的衝擊面向，依據IEC 62443的風險評估要求，其衝擊評估必須包括安全/人員傷害、財務/設備損壞、和運營功能性/生產中斷等。

改進此領域的一些創新方法除了NIST公布的網絡安全框架實務和各應用領域已被探討和建立的網絡安全實務之外，以基於風險的產品、系統全生命週期的縱深防禦(Defense-in-Depth)產品、系統網絡安全保證策略，其中包括網絡安全管理、網絡安全要求規格、設計的網絡安全(Secure by Design)、網絡安全實施、網絡安全驗證與認證(Security Verification and Validation)、網絡安全指南、補丁管理、網絡安全問題或缺陷管理、網絡安全事件管理等是基本的要求和原則；引用IEC TR 63074或IEC TR 63069進行順序或並行分析的「(功能)安全」和「網絡安全」產品、系統設計，有效考量「安全保證」的前提是「網絡安全威脅的風險可以被確保」的基本訴求和設計原則，則是體現安全與網絡安全孿生的第三次安全革命的重要關鍵，且為重中之重的挑戰性議題。