國際標準系列 IEC 62443「工業通訊網路 - 網路及系統資安」說明如何達成自動化領域的 IT 資安。其主題遍佈風險分析、安全操作要求,乃至產品的安全開發(資安設計)。因此,在有效實行工業資安方面,IEC 62443 目前為工廠營運商、機器建置商及裝置製造商提供最佳定向指南。
IEC 62443 著眼於五個方面:基礎工業資安要求、區塊和管道的原則、資安層級、資安生命週期及風險分析。
資安標準系列 IEC 62443
對於工業資安的規範與法規要求
標準 IEC 62443 關鍵部分總覽:
|
針對元件製造商 |
針對系統整合商 |
針對營運商 |
|---|---|---|
| IEC 62443-4-1 開發程序 | IEC 62443-2-4 指令和流程 | IEC 62443-2-4 指令和流程 |
| IEC 62443-4-2 元件的資安功能 | IEC 62443-3-2 自動化與控制系統的資安功能 | IEC 62443-2-1 操作和服務 |
| IEC 62443-3-3 整個自動化與控制系統的資安功能 |
其中的核心是資安風險評估流程,可用作定義量身打造資安措施的基礎。此外,強調組織措施與技術措施之間的交互作用。在最壞的情況下,單靠技術解決方案反而會導致虛假的資安感,因為技術措施很容易受到人員行為的影響。舉例來說,只有當密碼也變更、未共享且未標示在裝置上時,才能提供保護。
為滿足 OT 資安要求,工業自動化系統需要縱深防禦方法。Pilz 運用其專業知識支援機器製造商和營運商實行組織與技術要求,特別是 IEC 62443 的要求。
工業資安概念以及對標準和法規要求的合規,可大幅提升的網路資安,即使在機器層級也是如此。
與資安相關的其他標準
ISO/IEC TS 63074:2023
「機械安全 - 安全相關控制系統功能安全之資安層面」
此標準的重點在於安全與資安之間的交集。因此,其觸及機械規則要求的核心。識別資安威脅和漏洞時,使用 IEC 62443 系列。其考慮安全控制器中可能遭受資安威脅(如未經授權存取、惡意軟體或網路攻擊)利用的漏洞。目的是保護安全功能,使其能確實發揮保護效果。 為了安全,特別建議採用「縱深防禦」原則。
該文件定義各種使用案例,並套用相應的威脅模型。這有助於您理解資安威脅如何影響安全。網路攻擊的其他影響尚未明確考慮。
ISO 27001 - 資訊資安管理系統(ISMS)
NIS 2 處理資訊資安系統的管理。ISO/IEC 27001 受到特別關注,因為其在世界各地公認為資訊資安的現存標準,且可進行驗證。其明確說明對於資訊資安管理系統的要求。
我們談論資訊資安而非 IT 資安,因為所有資訊皆必須受到保護,無論是數位的或類比形式(手寫、口述、視覺)、或是紙本記錄或儲存在雲端。近年來大量資訊都是透過 IT 進行處理,因此 IT 資安扮演著同等重要的角色
基本上,這是要將組織內各個領域的資訊安全風險降至最。因此,這也會影響生產設施,例如機械設備和 OT 網路。
若組織因外部要求(如法規要求或與客戶的合約協議)而要求依據 ISO/IEC 27001 的 ISMS,或者想要自行實行(如為保護自身或為了使用符合大眾認可的品質標準),則無法忽略 工業網路資安的主題。
這讓我們回到標準 IEC 62443,其目前可為工業資安領域的資訊安全提供了最佳的參考框架。
資安的法規與規則
網路攻擊的威脅日益增加,可能造成龐大經濟損失,促使世界各地引入法律框架,為企業、工業廠房、機械設備及機器元件制定最低標準。網路資安是新要求且絕對必要,特別是對於關鍵基礎設施而言。
為降低這些風險,歐盟立法機構已制定一系列新的規範。
機械規則
機械規則 2023/1230 於 2023 年 6 月通過,對所有歐盟成員國具有約束力,過渡期間為 42 個月。機械規則適用於機械設備或機器組件的製造商,即生產商(OEM = 原始設備製造商)和系統整合商。未來,機器製造商必須確認機械設備符合機械規則,包含資安層面。其中包含防毀損,以及抵制第三方惡意試圖製造危險情況的措施。機械規則符合性在符合性聲明中加以正式確認。CE 標章作為可見標誌貼在機器上。不符合新機械規則要求的機械設備,將不再被允許在歐盟銷售。
多年來,Pilz 一直為機器製造商提供合規程序支援,並幾乎涵蓋所有領域:從安全概念、風險分析與評估,到符合性聲明。未來,我們也將關注資安層面。
歐盟第二版網路及資訊資安指令(NIS 2)2022/2555
歐盟新的網路及資訊系統指令(NIS 2)規範了歐盟內「必要且重要」體的網路攻擊防護統一標準。不同於機械規則,其指令規範的是企業的網路資安要求,而非機械設備。該指令對不同領域設有不同要求,是根據企業對經濟的重要程度(關鍵性)來區分。舉例來說,能源供應或鐵路運輸業的企業具有高關鍵性等級。受 NIS 2 規範的對象還包括員工人數超過 50 人或年營業額超過 1,000 萬歐元的工廠及機械製造商,即使是來自較低關鍵性產業的企業也包括在司。
企業必須採取技術、營運及組織措施,管理網路和資訊系統的資安風險。除此之外,這包含對管理人員和員工的訓練。重要的是不僅要考慮傳統辦公室 IT環境,還要納入 OT 領域及其工業資安。
網路韌性法案(2024/2847)
網路韌性法案(CRA)旨在改善具備數位元件產品的資安特性。因此,此法案適用於製造商以及將產品推向市場的業者。這也包含機器製造商。CRA 將強制性資安要求引入到整個產品生命週期中。其要求對於整個生命週期承擔注意義務,也包含製造商有義務在至少 5 年期間內,為營運商的修補程式管理程序提供軟體更新,以防產品中出現資安漏洞。自 CRA 生效以來,產品的 CE 標章就要求符合該標準。因此,CRA 以產品的資安特性補足 NIS 2 指令和機械規則。
Pilz 為您提供的完整工業資安產品組合 – 循序漸進地確保機械設備安全:
總公司
Pilz GmbH & Co. KG
Felix-Wankel-Straße 2
73760 Ostfildern
Germany
電話號碼: +49 711 3409-0
電子郵件: info@pilz.de
技術支援
電話號碼: +49 711 3409 444
電子郵件: support@pilz.com
美洲
- 加拿大: +1 888-315-PILZ (315-7459)
- 美國 (免費電話): +1 877-PILZUSA (745-9872)
- 巴西: + 55 11 4942-7032
- 墨西哥: +52 55 5572 1300
歐洲
- 俄羅斯: +7 495 6654993
- 西班牙: +34 938497433
- 丹麥: +45 74436332
- 德國: +49 711 3409 444
- 比利時: +32 9 321 75 70
- 瑞士: +41 62 889 79 32
- 法國 (免費電話): +33 3 88104000
- 奧地利: +43 1 7986263-444
- 愛爾蘭: +353 21 4804983
- 荷蘭: +31 347 320477
- 義大利: +39 0362 1826711
- 英國: +44 1536 460866
- 瑞典: +46 300 13990 / +45 74436332
- 土耳其: +90 216 577 55 52
- 芬蘭: +358 10 3224030 / +45 74436332
- 葡萄牙: +351 229 407 594
亞太地區
- 紐西蘭: +64 9 6345350
- 泰國: +66 210 54613
- 日本: +81 45 471 2281
- 澳大利亞 (免費電話): +61 3 9560 0621 / 1300 723 334
- 中國: +86 400-088-3566
- 南韓: +82 31 778 3390
- 台灣: +886 70 1015 0068
- 新加坡: +65 6829 2920