產業界的可能因應對策
「安全」和「網絡安全」基本需求的增加源自更普遍地使用各類自動化控制系統,它們的發展因應應用特性、環境變化、服務功能的需求和使用情況的多樣化而愈趨多樣性與複雜化,智慧化、遠距、無線、和行動方案支持等是必然需要提供的功能,而應用的部分近年大力推展和提供各類服務的開放系統、物聯網、工業物聯網、人工智能物聯網、區塊鏈、雲與大數據的應用等,進一步迫使這個問題被「凸顯」並浮出檯面。
在這種市場需求殷切的挑戰之下,誠如郭台銘先生2019年於台灣區電機電子工業同業公會(Taiwan Electrical and Electronic Manufacturers’ Association, TEEMA)論及「美中貿易戰」揭櫫的說法:「沒有G20、只有G2」,「⼀個世界、兩套系統」已是必然。這會是將來世界局勢演變過程中一定程度的必然,台灣的產業,僅靠內需市場是不足以支撐的,我們高度仰賴對外貿易,並將產品銷往世界各地。基於這樣的生存環境,當全世界作為台灣貿易對手國的目標市場,如果他們都築好「(功能)安全」和「網絡安全」的防護壁壘,事實上台灣沒有太多可以選擇的權利,只有面對問題和挑戰做出必要的因應,而這種因應非常需要充足的「時間」來過渡。
過去台灣很引以為豪的客製能力、彈性調整能力、和適應能力,當全世界築起對「(功能)安全」和「網絡安全」的壁壘時,這是一個高度遵守標準作業程序(Standard Operation Procedure, SOP)、專人專責、系統工程的軍團作戰方式,就會變成我們很大的調整障礙。台灣雖然也號稱為資通訊技術的強國、資通訊技術是我們的強項之一,但是很多廠商、研發機構卻不遵守資通訊技術在系統、硬體、和軟體系統工程應該引用的各項國際標準和規定,引用被驗證合格的工具(Qualified Tool)輔助產品的開發、分析、評估、模擬、測試和管理,並且在學校的資通訊教育、系統工程和可靠度工程也是非常冷門、不被重視的領域。
換句話說,實施和使用IEC 61508和/或IEC 62443骨幹「(功能)安全」和「網絡安全」標準,從體質上觀察台灣是非常孱弱的,各領域從業同仁在這方面的認識也相對淺薄或表面,因此現在我們缺少的是「時間」和「能力」。另一方面,企業主受限市場需求的急迫性壓力,多數採取「應付」過關的心態,沒有決心「蹲下身體、彎下腰,虛心從基礎重新紮根,練好基礎功夫的硬底子」,這會是一個很大的「決心」和「承諾」的問題。
由於系統工程是一個「軍團作戰」的模式,與台灣以中小企業為骨幹,非常高比例的企業主沒有這樣的資源、人力、也組不起這種「軍團作戰」研發團隊的模式,明顯將成為台灣中小企業因應此類需求的重大障礙,這將迫使我們要善用策略合作與結盟、外部支援的方式因應挑戰。
讀者或許需要理解,擬更換或撤換一個被認可合格的「功能(和網絡)安全」產品或組件供應商,一般供應鏈評估的準備時間是需要花費三年的時間,這充分顯示如何做好市場需求的時間前置因應需要,大概也就是三年,甚至體質差或是挑戰功能(和網絡)安全等級較高或較複雜的產品,需要花費五年的時間也算是正常的。市場的需求就在那兒等著我們,從不完備、不合格到符合資格需求,需要花費那麼長的時間是一個常識的平均概念,而我們如何用六個月的時間(作者接觸不少企業客戶的需求,他們給出的任務目標就是不合理、卻要完成一個六個月的時間不可能做到的目標)就想要達成這樣的調整目標呢?
未來在「網絡安全」產品的驗證要求也會類似「功能安全」產品的驗證需求這般,甚且有些產品必須同時取得「網絡安全」和「功能安全」產品特定等級能力的驗證合格,才可能符合市場需求,屆時,對台灣的廠商將會面臨更困難的挑戰。
以「網絡安全」產品的驗證為例,一般會從組織的資訊安全管理系統(Information Security Management System, ISMS)和能力的養成開始,當進入產品專案後,就必須要銜接ISO/IEC 27001開發環境的資訊安全管理系統並建立網絡安全管理系統(Cyber Security Management System, CSMS),培訓瞭解網絡安全知識的人力後,先從IEC 62443-4-1產品開發過程的網絡安全等級能力驗證開始,其次進入IEC 62443-4-2的產品組件的網絡安全等級驗證,再其次才開始IEC 62443-3-3的系統產品網絡安全等級驗證,而IEC 62443-2-4則視需要依據企業體是否介入IACS服務提供或系統整合業務,再評估是否也需要做這方面的能力等級驗證。
由於強調「設計的網絡安全」、「全生命週期網絡安全保證」,因此進入產品的研發或製程(或是過程或流程)是必然的,過去台灣的企業界多數將這樣的產品(安全)驗證交由企業體的產品品質保證部門負責,但這是一個錯誤的任務指派方式,因為它是工程,是系統工程的一部分,不是產品的(安全)型式驗證或者是測試。或許,持不同意見者也會說,無論是執行產品的功能安全驗證或是網絡安全驗證,驗證評估時也會評估組織和專案的品質管理實務、做法、和執行結果的各項證據,然而,不應該忘記,這是屬於配合支援的系統和基礎,並不是這項任務的主體工作。此外,必須留意,通常要求網絡安全的產品,也可能附帶要求功能安全,這對廠商而言,會是雙重的壓力。
相對於台灣本土的廠商,國外的廠商對於產品開發應遵守的系統工程相關標準、功能安全相關標準,會有一定程度的基礎支撐,因此因應這樣的挑戰和壓力,至少在時間的壓力上會遠比台灣的廠商輕鬆;在研發管理制度、合格的輔助工具引用和人員基本技能部分,也會相對容易因應,所以國外的應對模式未必符合或切合台灣企業界的現況需求。
再一次強調,組織基於ISO/IEC 27001所建立的資訊安全管理系統,與IACS以OT技術為骨幹的網絡安全是非常不一樣的,且網絡安全被應用到不同的領域時,就必須搭配該應用領域特有應遵守的網絡安全標準或實務,並不是一套IEC 62443系列標準就能滿足使用,它只是IACS網絡安全的骨幹標準而已。
譬如製程工業應用領域(油、氣、水、電力等),在國外石油和天然氣供應,被區分為生產和管道輸送兩個子領域;飲用水區分為供應和輸送;電力也區分為電力生產和電網/輸配電。以石油和天然氣為例,其IACS功能安全和網絡安全適用的標準、指南或實務包括IEC 61508, IEC 61511, ISA TR 84.00.09, IEC 62443, API STD 780, API STD 1164, NIST C2M2 網絡安全成熟度管理模型和NIST關鍵基礎設施網絡安全框架和相關指南, ISO/IEC 27001, ISO 27002, ISO/IEC 27019等。
譬如軌道應用領域,其區域(Zone)一般可以被區分為外部區域、企業層級區域、操作關鍵性網絡安全區域、火災和生命安全安區域、安全關鍵網絡安全區域等,其中只有外部區域和企業層級區域相對符合過去大家指稱的資訊安全管理系統和技術支持解決方案的適用範圍。對於安全關鍵網絡安全區域,由於高度與「功能安全」和 IACS「網絡安全」的OT技術領域相關,因此適用的標準、指南或實務包括EN 50126-2, EN 50128, EN 50129, EN 50159, EN 50657, IEC 62278, IEC 62279, IEC 62425, IEC 62280, IEC 62443 (-2-1/-2-4/-3-1/-3-2/-3-3), NIST SP 800-82, NIST SP 8003-30, ISO/IEC 15408, ISO/IEC 27001, ISO/IEC 27002等。
譬如道路車輛的網絡安全,基本上大多需要與功能安全孿生並行考慮,適用的標準除了ISO 26262, ISO PAS 21448, IEC 61508, IEC 62443, ISO/SAE CD 21434, ISO/IEC 2700x系列標準之外,如果以美國體系的車廠分析,IEEE 1609.x, ISO 2007x, SAE J1939-91B, SAE J 1939-31, SAE J 1939-91A, AUTOSAR SecOC, SAE J 1939-91C, ISO 14229-1, SAE J 3101, SAE J 3005, SAE J 3061, ISO 15765-5, SAE J 3138等也必須被引用。
從以上列舉的三個領域(或子領域)的說明即可輕易發現:實務上即使引用ISO/IEC 2700x, IEC 62443系列標準,仍然遠遠不足。因為這是一個工程的問題,與應用領域的特性息息相關,對於每個領域的「功能安全」和 IACS「網絡安全」要求,都有其獨特的領域知識、技術和應用的特性和內涵必須被清楚瞭解,才有辦法針對問題找到適合該問題的解決方案。在歐美,針對關鍵訊息基礎設施(Critical Information Infrastructure, CII)各領域應該適用或可以引用的標準、指南或實務,是有經過分析並加以展開的,在台灣,這方面的分類和歸納,尚未被普遍瞭解,作者的看法是:做得不夠、做得不完整、也做得不好,尚有非常大的改善空間。
這其實是一個很可怕的事情,特別是當IACS網絡安全在台灣剛處於萌芽期、努力瞭解的階段,輸入了一個錯誤的資訊,可能導致整個因應的策略、方向和步驟都錯誤,進而走進冤枉的道路,沒有正確解決問題。本文前述提到的「CHESS」第三次安全革命的思維,特別是群集思維和加強合作、網絡安全整合,引進跨領域知識的專業人才,而不偏廢於側重IT科技或資通訊技術專門人才解決這種需求領域OT技術的「功能安全」和 IACS「網絡安全」問題,或許是我們該深刻思考的因應對策與方案之一。
另一方面,應該從不同層級網路銜接「邊界或邊緣(Edge)」產品或防火牆概念的資訊安全防堵概念跳脫出來,因為再好的牆或防護/抵禦措施,依然有可能被攻破的機會。我們需要思考的是,即使知道已經被駭客或惡意者攻擊、網絡威脅已經存在系統中,而系統仍然可以維持運作、維持安全的運作、並拘限該網絡威脅於特定容許的通道(Conduit)或區域,也就是徹底從CIA的概念轉變成AIC的概念,而掌握這種需求的關鍵解決方案的策略布局,應該是可以思考的重要方向,並從中找尋到網絡安全升級的利基型產品或專利佈局,墊高競爭的困難度和門檻。
