立德国际让网安认证成为企业助力

AIoT数量渐多，对应的网安也渐受重视，从源头程序码到上线维运与各环节的监控，都是为了防堵黑客，避免企业资产遭受重大损失。立德国际长年深耕网安领域，在各领域提供顾问谘询服务，近期更举办了「全球网安意识抬头BV为跨域产业打造完善的网安防护机制」网络座谈会，由旗下各领域讲师深入分析物联网网安趋势与各种规范法条，协助台湾产业顺利取的物联网相关领域网安认证。

座谈会一开始，立德国际总经理巴士凯就指出，物联网在过去十年成为全球产业最重要的趋势，近期开始商转的5G更让整体市场加速启动，不过在万物皆连的态势下，制造、能源等以往相对封闭的系统，开始透过5G与物联网与外部连结，这也让网安问题随之浮现。

近年来网络网安事件频传，系统如遭攻击将带来重大损失，因此目前各大组织都已制定出规范，台湾厂商得产品必须符合相关规范，方能顺利跨入发展、取得订单，BV台湾与BV全球在网安认证领域已有多年历史，所提供的认证服务已协助全球多数企业取得相关认证，在此次座谈会中，立德国际也将提供各种专业解析，让台湾业者快速掌握物联网的网安防护标准。

全面优化网安防护

必维集团/立德国际资深经理邱郁清「别让网安的疏忽，成为勒索软件的温床」为题发表精彩演讲。邱郁清先引用国际研调机构针对七大主要国家的调查，这七个国家的3,600家企业中，有2,400家以上遭受攻击，而超过一半的厂商选择支付赎金，由此可见绝大多数企业对现在的网络攻击束手无策。

邱郁清进一步表示，这几年网络攻击范围快速放大，能源基础建设、资通讯、医疗、汽车...等不同领域的大型企业有被骇的记录，而对现在企业而言，网络安全的重要性有三，一是网络钓鱼、黑客攻击、勒索软件等威胁手法已快速精进，攻击频率也愈来愈密集，随着企业对IT系统的倚赖渐深，这些攻击对企业带来的损失逐渐提高。

二是数码转型已然成为企业永续经营的必要作为，在数码转型中扮演重要地位的数据数据必须真实可靠且不被偷取，方能顺利推动转型。第三是现在已有多数国际组织制定网络安全规范，像是工业自动化及控制系统法规ISA/IEC 62443、汽车对应法规ISO/SAE 21434、医疗设备的ANSI UL 2900-2-1与IEC 62443等，上述只是众多法规的一部分，这些规范上清楚表示出企业对网络安全的责任与罚则，未能取得认证的企业将失去该市场的商机。

面对如此繁复的标准与法规要求，立德国际提供了从产品测试、认证、检查、全球市场使用权、谘询等环节的完整一站式服务，近期立德国际就为工业网通大厂四零四科技颁发了台湾第一张工业网通厂商的IEC 62443-4-1证书，在全球案例部分，该公司则协助ABB HITACHI导入ISO 27001与IEC 62443，这两大指标性案例说明了立德国际在物联网以及工控网安的专业服务能量。

邱郁清表示，随着物联网的普及，网络安全在各领域的重要性快速提升，他建议企业在面对不同市场采用不同策略，对于新市场与新技术，法规仍不会强制要求特定标准，而是要求厂商符合完善的控制和流程并选用相对适合的标准，至于相对成熟的领域，则可使用各领域已经发布的具体或公认标准，借此加快市场审批流程。现在政府与产业都认为网安即国安，台湾企业可善用相对应的在地网安法规、提升产品及公司竞争力与国际信任度，从而取得市场优势。

精准掌握工控网安标准

工控系统的智能化脚步逐渐加快，在此同时网安风险也相对提高，在「持续进化的工控网安标准」演讲中，必维集团/立德国际网安专家林上智指出，过去十年工控系统与营运科技(OT)被攻击的频率快速增加，因应此趋势，各组织团队纷纷制定出相关规范，让业界有完整的网安框架可依循。

林上智首先介绍在所有工控网安规范中最知名的IEC 62443，他指出此标准当初的设计是应用于连续加工的炼油厂、发电厂与制造业，之后交通、电网、建筑管理等系统也被纳入。此标准的框架包含了产品四部分，包括通则(General)、政策及流程(Policies and Procedures)、系统(System)及元件(Component)，在这四大部分中，仅有政策及流程、系统、元件的部分规范必须通过认证。

林上智指出，台湾电子产业大多为产品供应商，因此对产品的应用场景有完整认知、掌握风险发生机率与网安脉络，方能顺利打造合乎客户要求的产品。

IEC 62443已是工控领域最重要的标准，产业着手强化此标准的完整度与可用性，近期瑞萨电子、西门子、Toshiba 、 Hitachi 、四零四科技等OT大厂商打造 Linux 基金会官方开源专案「城市基础建设平台」，让业界厂商可借此提升包括网安在内的产品功能。林上智另外提醒业者，IEC 62443还须与其他IT标准搭配，方能优化整体系统的网安防护效能。

超前部署物联网/车联网网安架构

除了工控之外，物联网与车联网也被多数厂商式微重点布局市场，必维集团/立德国际技术经理李培宁在「面对物联网/车联网网安挑战如何超前部署」演讲中提到，近年来联网设备的数量大增，其中物联网与车联网装置但有极高比例，伴随庞大的联网设备架构而来是网安威胁，尤其是现在多数企业的网安意识不足，再加上采用的系统元件防范功能偏弱，导致系统门户大开。

为了让物联网与车联网的安全防护更完整，各国政府已订出相关法规，产业组织则进一步将之列为标准，目前较知名的标准包括ISO/SAE 21434、EN 303 645、ISO/IEC 5230，其中ISO/SAE 21434是遵循联合国UNECE规范的强化版，此标准特别规范了物联网与车联网的网安准则，EN 303 645制定消费性产品物联网的最低网安要求，已是目前全球主流标准，至于ISO/IEC 5230则是对开源软件使用的合规、合法有所规范。

李培宁最后表示，台湾如要进军车电领域，必须优先符合ISO/SAE 21434，如果以家用或其他领域为主，则要通过EN 303 645认证，此标准除了欧盟外，新加坡与澳大利亚也以此标准制订出各自的网安规范，因此EN 303 645未来有机会成为全球物联网资通标准的核心，至于产品如果使用开源软件，ISO/IEC 5230将是必要规范，对于上述标准，李培宁呼吁业者在设计、制造端就让自身企业具备通过认证的能力，让产品可以获得客户认可，借此优化市场竞争力。