隨著工業控制系統(ICS)和物聯網(IoT)加速融合,工控領域的資安挑戰日益嚴峻,全球法規亦更加嚴謹,以外銷為主的台灣企業,勢必須跟進合規,以降低營運風險。
工控領域的資安風險隨著技術的進步而日益加劇,特別是在工業物聯網應用的快速普及下,工控系統成為網路攻擊的主要目標之一。全球各地的相關法規應運而生,其中以歐洲的資安法規最受矚目,如近期正式生效的網路與資訊系統安全指令(NIS2)與即將實施的網路韌性法案(CRA)。這些法規要求產品製造商在設計、開發與維運的全生命週期中,強化安全性以確保聯網裝置的可靠性。對製造商而言,合規性不僅是市場準入的門檻,更是企業在數位轉型過程中獲得競爭優勢的關鍵。
隨著自動化與AI技術的引入,工控系統的安全需求變得更為複雜。企業若能不斷升級安全防護措施並遵循相關標準,就能在技術進步的同時,保障自身與用戶的安全。TÜV NORD Taiwan工業服務部國際AI資安策略總監林正偉認為,IEC 62443標準可說為製造業提供了針對工控系統網路安全的完整資安指導。該標準特別強調如何在產品全生命週期內保障設備的安全性,尤其是針對工業物聯網設備的網路攻擊防護,並與CRA與無線電設備指令(RED)緊密結合,成為進入歐盟市場的合規門檻。
RED指令主要聚焦於無線設備的安全性,旨在防範無線連接裝置因其開放特性而成為攻擊目標。此法規提出三大安全要求:防止設備遭受攻擊與損壞、保護個人隱私以及確保金融交易的安全性。針對工控領域物聯網裝置的資安問題,是德科技通訊系統解決方案資深業務開發經理王欽洲進一步指出,各國政府對資安的重視不斷提升,製造商必須在軟體、韌體與硬體層面全面滿足安全需求。以醫療設備與智慧製造設備為例,若出現資安漏洞,可能直接威脅人身安全。曾被揭露的藍牙漏洞SweynTooth便影響了多款醫療物聯網(IoMT)設備,當這些設備遭到攻擊而無法正常運作時,可能對病患造成致命風險。
由此可發現,零信任架構的重要性愈加凸顯。該架構強制要求所有存取行為須經過認證,並依據需求分配適當權限,以防止駭客透過IoT裝置滲透內網。王欽洲強調,雖然印表機或網路監控攝影機等IoT裝置看似無害,但一旦遭受攻擊,卻可能成為進一步滲透內網的跳板。因此,企業必須對這些裝置進行控管與監控,將其納入持續性的安全防護措施中,確保營運環境的安全性。
在CRA法規與AI技術的應用層面,台灣德國萊因技術監護顧問功能安全與資訊安全業務經理莊珮甄指出,
CRA旨在彌補現有資安標準的不足,特別是針對物聯網裝置與新興技術的安全保障。她引用烏克蘭電廠遭網路攻擊的案例,說明這些攻擊不僅是抽象的威脅,更是具體的風險,可能對基礎設施運營與公眾安全帶來實質性損害。CRA要求製造商在設計與生產階段將資安考量納入其中,包括漏洞管理與網路攻擊防護等全生命週期的安全性要求。此規範對製造商而言,是進入市場的基本門檻,也對產品的長期安全維護提出了挑戰。
此外,必維國際檢驗集團資訊安全部技術經理林宗慶則提到PSTI、CRA與NIS2等歐洲資安法規的具體規定與合規性挑戰。例如,PSTI法案專注於銷往英國的數位產品,而NIS2則主要針對歐洲中小企業。這些法規對製造商提出了漏洞揭露與網路攻擊防護的強制性要求,並配以高額罰款措施,迫使企業更加重視資安與合規性。
銓安智慧科技顧問服務處副總蕭志平從實作層面剖析IEC 62443-4-2標準的落實挑戰與應對策略。他以家庭安全作為比喻,說明設備的安全設計應如同保護自己的家園,不僅要考慮如何防禦外部威脅,還需確保系統在攻擊情境下的運行能力。該標準將安全需求分為多個等級,從基本的存取控制到高階的多因子認證,涵蓋軟硬體及網路層面的全方位安全措施。蕭志平認為,這些措施能有效提高設備在面臨網路威脅時的韌性,減少攻擊風險。
儘管全球各國陸續釋出針對物聯網安全的不同規範,企業若能先落實IEC 62443-4-1的管理理念,將設計與開發的文件依照該標準的框架進行編制,並確保這些文件符合IEC 62443-4-2的驗證要求,便可提升系統在安全性和管理上的完整性與一致性。如此一來,不僅能降低不同地區合規的難度,也可加速業務拓展的進程。