隱藏在細節裡的資安魔鬼
製造業起家的台灣名人郭台銘曾經說過「魔鬼藏在細節裡」,其含意是希望產品製造應多關注細微的問題,以確保產出產品的品質,這裡說明的問題,當然也包含資安問題。 台積電於2018年8月6日下午召開記者會,說明8月3日到8月4日間發生的惡意程式入侵事件,此資安事件估計造成52億台幣的損失。 根據媒體報導,在8月3日晚間6時左右,台積電傳出晶圓廠產線出現設備中毒的情況,導致部分產線無法正常運作,並且在當天的10點,災情進一步擴大到三間不同的工廠,在之後的台積電對外說明會裡得知,這個事件的元凶是曾經在2017年5月造成大規模感染的「WannaCry」勒索病毒。至於發生的原因,台積電在對外重大訊息說明會中指出,此事件是因為「新機台在安裝軟體的過程中操作失誤」,換句話說就是人為操作錯誤所造成的事故。 身為全世界最大的專業積體電路製造服務公司,台積電無論是在管理或技術製程上面,一直是企業的楷模表率,大約八年前,筆者曾造訪台積電,當時在進入接待大廳前,所有要電腦和手機等智慧型設備都需要管制,其重視資訊安全的態度可見一斑,但即使是這麼嚴謹的公司還是發生資安事故,更不用說那些還未將資安風險防護納入營運計畫的公司。 在台積電事件之前,同樣屬於使用工業控制系統的烏克蘭電廠,也在2015年12月發生了惡意網路攻擊,造成22.5 萬居民在寒冬中無電可用的窘境。 烏克蘭的12月,還處於天寒地凍的寒冬中,駭客遠端入侵烏克蘭電力公司的電網控制中心,沒多久所屬用電區域隨即發生斷電事件,包含交通號誌、路燈、電視和冬天需要的暖爐等用電設備,全都無法運作,而維修人員更花了6小時才回復電力,表示其備援機制沒有正常啟動。事後經過資安專家的鑑識分析才發現,此事件的發生是經過很多複雜的過程,其中包含了長時間的潛伏和一連串有計畫的針對式攻擊。 工業控制系統的資安問題有個主要的特色,就是其影響的範圍跟工廠的電腦化與智慧化程度有關,這會是人類走向工業4.0所必須克服的絆腳石,這些問題除了可能影響產品品質,甚至會影響生活與健康。 因應製造業智慧化的發展趨勢,產業與政府紛紛提出工業控制系統資安法規,其中最常被提出來參考引用的包含美國NIST 800-82工業控制系統安全指引(Guide to Industrial Control Systems Security)與IEC 62443工業網路與系統安全(Industrial Network and System Security)。 面對製造資通訊化的趨勢,在導入解決方案的同時,經營者首先面臨的是如何訂定建立安全製造環境的執行計畫,NIST 800-82提供了建議指引。NIST 800-82在2015年5月發行了第二個版本,從文件的章節規劃來看,分成五大部分,一是工業控制系統(Industrial Control System)概論,說明工業控制系統的演進、構成、與資訊科技(Information Technology)差異等,二是說明工業控制系統的風險評估,以風險管理的方式,提出可能的威脅與衝擊分析,三是探討工業控制系統安全企劃(Security Program)的規劃與部署,四是說明工業控制系統安全架構,介紹相關的資安技術和解決方案,五則是介紹如何將規劃評估的安全控制措施付諸實踐。 NIST 800-82中,對製造業在現有的流程中如何導入資安解決方案的需求提出建議方法,其步驟如下:- 確認經營管理可接受的條件:依據企業經營的實際情況,收集管理層在意的部分與需要知道的部分,包含可帶來的好處、欲解決的問題、處理的範圍、與需要投入的資源成本等。
- 建立和訓練多功能型(Cross-Functional)團隊:建立一個跨部門的團隊來評估與規劃資安控制措施是必要的,團隊的成員應該至少包含控制、IT、資安等專業人員,透過不同領域專長的成員組成,才能一起討論可能的風險與實際的影響情況,並提出適當的控制措施,團隊的運作應直接對資安主管(或稱資安官)負責與報告,同時獲得高層的授權與協助。
- 定義憲章(Charter)與範圍:資安主管應該建立資安企劃的憲章,提供後續執行人員的指導原則,內容包含目標、角色與權責、執行範圍、預算與資源等。
- 定義政策與流程:成功的資安企劃需要政策與流程搭配,依據憲章的內容,進一步定義執行流程,資安主管應該參考現有企業的流程規範,思考整合或新增資安的部分,以做為組織資安相關作業依循的標準流程。
- 實施工業控制系統資安風險管理架構(Risk Management Framework):參考風險管理相關規範或指引,進行風險分析與處理規劃,其參考步驟如下:
- 盤點工業控制系統資產
- 建立工業控制系統的安全計畫(Security Plan)
- 執行風險評估
- 規劃對應風險的控制措施
- 提供資安認知訓練:除了透過政策流程定義處理措施,最重要的是提升組織同仁資安意識,透過教育訓練是最快的方式,提升資安意識雖然無法完全避免資安攻擊,但對於特殊的攻擊可以減緩造成的衝擊,如社交工程等攻擊,同時教育訓練最好搭配適當的演練,以提升訓練的成效。
- 第四層:經營管理用途所需的相關設備,如財務系統、郵件系統等。
- 第三層:工廠生產作業所需的相關設備,通常指工廠中管理和規劃面的部份,如生產排程系統、產品更新管理系統等。
- 第二層:監控實際流程所需的相關設備,如人機介面、流程監控系統等。
- 第一層:用於判斷或操作實際作業流程的相關設備,如PLC、IED等。
- 第零層:用於最前端的感知或驅動執行的相關設備,如感知器、驅動器等。
- 社交工程與網路釣魚攻擊(Social Engineering and Phishing)
- 透過行動媒體和外部硬體入侵的惡意程式(Infiltration of Malware via Removable Media and External Hardware)
- 透過網路感染惡意程式(Malware Infection via Internet and Intranet)
- 透過遠端存取的疏失造成的入侵攻擊(Intrusion via Remote Access)
- 人為疏失或蓄意破壞(Human Error and Sabotage)
- 控制元件連線到網際網路(Control Components Connected to the Internet)
- 因為機器失常造成的問題(Technical Malfunctions and Force Majeure)
- 使用外部或雲端的元件(Compromising of Extranet and Cloud Components)
- 分散式阻斷服務攻擊((DDoS) Attacks)
- 在產品環境中使用智慧型手機(Compromising of Smartphones in the Production Environment)