智能应用 影音
Dtalk base_中科工科技新创育成加速器
event

备战工控与车联网网安威胁 应掌握最新标准并提早布局

(右一)TUV NORD产品验证工业服务部资深经理廖仁杰及(右二)TUV NORD工业服务部资深技术经理林正伟

工业物联网带动的制造业数字转型、以及透过车联网实现的自驾应用,是现今产业的重要发展趋势与商机。尤其是,随著5G正式商转,凭借著其低延迟与高速传输特性,业者对于它将推动的市场成长潜力更是寄予厚望。

然而,在市场蓬勃发展的同时,另一方面,各类联网应用所带来的网安威胁却也日益严峻。近来,制造业成为黑客攻击目标的新闻已时有所闻,可以想见,当万物联网时代来临,更将带来倍增的风险。因此,不论是对竞逐物联网商机的供应商、或是推动数字转型的制造商来说,如何因应新时代网安需求已是不容忽视的重要议题。

对此,TUV NORD汉德公司日前在接受采访时,详细说明了针对工控网安所制定的IEC 62443、以及针对汽车电子所制定的汽车软件流程与功能测定ASPICE和汽车网络安全ISO/SAE 21434标准,期望业者能了解这些最新标准的现况,提早部署,并真正地建立网安文化,不仅有助于掌握未来商机,更是公司安全营运的保障。

攻击制造业将成趋势 工控网安问题不可忽视

TUV NORD工业服务部资深技术经理林正伟表示,过去工厂主要重视功能安全性,以防止因机械故障造成人身危险。但死机台联网后,必须开始考虑因为信息安全(Cyber Security)而对功能安全(Functional Safety)带来的影响,而IEC 62443便是从此着眼,专注于规范过去OT(营运技术)所欠缺的网安标准,以符合IoT应用需求,这与IT领域行之有年的CC网安标准是不相同的。

TUV NORD产品验证工业服务部资深经理廖仁杰亦补充说,62443标准开宗明义是要确保关键基础建设,例如港口、电厂、码头、机场的可用性(Availability),不能因为网安问题而造成服务停顿,这与ISO 27001网安标准强调的数据保密性并不一样。

这也是欧盟力推62443作为工控网安标准的原因,因为当黑客攻击已升高至国家级层次时,如何确保基础建设服务不中断是非常重要的。同样地,若把此概念延伸到被称为矽岛的台湾,若我们引以为傲的半导体供应链受到网安威胁时,也会为全球市场带来冲击。

由此,我们可以了解62443标准的重要性,以及它所想要解决的问题。然而,因为工控网安领域的范畴很大,62443标准的另一个特性是强调「防御纵深」,采用多层防御的方式,从最外层的管理系统,到内部的产品技术要求都有规范。若更缩小到实体面,网通产品的OSI七层架构,每一层都有防御,可说是全面撒网,遏止威胁。

所以,从架构来看,62443标准包含了开发流程、产品、管理系统、服务等四大块。对台湾制造业者来说,需要关注管理系统的建置,以确保联网机台的安全性,降低被入侵的风险。而对众多的工控设备业者而言,由于全球工控大厂率先取得62443的标准,依循开发流程、产品方面的标准建置,才有机会获得下一阶段全球市场的入场券。

林正伟表示,虽然62443标准中的某些部分仍在发展中,但从IEC网站提供的发证数量来看,此新标准的接受度已日渐提升。2019年全球仅发出3张认证,2020年就已增加到超过40张。由于欧盟已规范,2023年底所有基础建设相关设备都需遵循62443标准,预期此标准将日渐普及,业者应及早因应并对工控网安议题有更清楚的认识。

确保信息与功能安全 车用电子的三大标准

在汽车网络安全部分,则有CSMS(网络安全管理系统)和ISO/SAE 21434两项新标准。廖仁杰表示,从标准内容来看,我们可以说62443是CSMS和21434的母法,只是把62443拆解成管理系统的CSMS,以及着重技术与开发流程的21434。

因此,延续著62443强调可用性与防御纵深的精神,CSMS和21434便是要全面确保汽车网络的信息安全性。CSMS将于2021年1月起正式上路,欧盟也已规定从2022年起,所有新款(new-type)汽车需遵循CSMS,到2024年,则是所有新车都需遵循。

至于规范技术与开发流程的21434标准,由于62443也仍在制定中,目前仅有草稿版,可能要到2021年上半才会底定。尽管如此,在车厂的大力推动下,未来所有车电零组件业者势必先做好准备,才能符合来自客户的要求。

除了汽车网络安全之外,针对汽车电子还有ISO 26262功能安全以及汽车软件流程与功能测定ASPICE需一并纳入考虑。

林正伟表示,对台湾积极进军车用电子市场的业者来说,21434、26262和ASPICE可说是汽车标准的铁三角,缺一不可。

而在部署上,由于21434和26262较为偏重方法论,而ASPICE则是提供了可以串连开发流程的架构,因此,建议可先导入ASPICE流程,再以此为基础导入21434和26262,可以发挥最大的效益。

廖仁杰亦表示,21434和26262都是采用工程V模型架构,在精神上是类似的。只是前者针对信息安全,后者针对功能安全。而随著软件在未来自驾车中扮演了重要角色,再藉由ASPICE规范软件开发,可为整个车电系统建构牢固的安全机制。而就国内汽车电子供应链来说,不论是芯片、软件、模块和子系统的开发厂商,都需依照其属性,针对21434,26262和ASPICE进行适合的标准建置。

最后,廖仁杰强调,不管是62443、21434或26262标准,它们制定的精神都在于:建立安全政策与网安文化。这必须是公司从上而下全面推行的,才能真正地在公司内部打造网安意识,而不仅是为了取得证照,拿到竞逐市场的门票而已。

随著未来几年,各类物联网应用将渐趋成熟,相信网安议题大爆发也必将发生。特别是,到2024年之前,这些新标准也都设定了上路时间表。业者的未雨绸缪,并积极建立网安文化,将是因应未来新时代安全挑战与商机的必要条件!

  •     按赞加入DIGITIMES智能应用粉丝团
更多关键字报导: 工控 数字转型 网安 制造业