圖片來源: 

攝影/羅正漢

在今年SEMICON Taiwan國際半導體展上,製造業資安強化也成焦點,在9月24日智慧製造展區的一場發表會上,經濟部工業局科長林青嶔宣布,旗下工研院打造的資安整合服務平臺SecPaas,是以媒合產業供給與企業需求為主,該平臺今年新推出了「資安成熟度評級服務」,希望借助國際上資安標準及框架,讓國內製造業能有更簡單的方法,先了解自身資安狀況與等級的現況,以找出需強化與改善的層面,讓企業在資安規畫上,可以更有方向。

這幾年來,我們陸續已經介紹多種資安框架,包括像是NIST CSF等,都特別強調成熟度的概念,可以有助於企業衡量現況與目標,瞭解企業距離國際最佳實務的資安防護的差距,而這次在SecPaas平臺新推的資安成熟度評級服務,也是基於這樣的概念打造,而且,鎖定的對象是國內製造業。

依據國際標準及框架精簡,內容以中文為主且易於入門

關於這個成熟度評級服務的具體內容,工業技術研究院資深研究員鍾銘輝在這次發表會中,說明了更多細節。他表示,工研院檢視了許多標準,包括ISO 27001:2013,以及OT相關的NIST SP800-82、IEC 62443,還有近年臺灣半導體產業正提出的資安標準SEMI 6506,將這些內容進一步濃縮匯整,並轉化為具體的問卷題目,也可視為一份合規清單,供臺灣製造業作為易於入門、快速自我資安診斷的依據。

這個資安自評工具有何特色?鍾銘輝指出,它主要適用於製造業,具有中文化的內容,因此,可用國人都能看得懂的語言,降低進入門檻,不像參考國際資安標準及框架時,是全英文的內容。而且,在這套自評工具的評級架構中,歸納出4個能力指標,包括:管理、防禦、偵測與回應,目前他們已設計有190個題目,包含131個功能項與59個流程項。

同時,這個工具也可視為一個自我診斷的平臺。鍾銘輝表示,在自評結果中,將會依據達成率分為A、B、C、D、E這5個等級,並給出整體評分。當企業想要提升資安時,就可以在平臺上看到改善建議,以及該項內容的參考資源,同時,也會對應到臺北市電腦公會(TCA)制定的「工控物聯網共通性資安指南」。

特別的是,系統還會自動推薦與排序優先,方便企業了解優先需要補強之處,有助於擬定資安升級方向。而且,平臺也將提供每季趨勢變化,以及相同產業平均分數的比較,讓企業不僅能與自己比較,也能瞭解與其他業者的差距。

鍾銘輝表示,這個平臺在9月15日就已經正式上線,到24日國內已有15到17家業者開始利用這項服務自評。

提供有意採用者可自行填寫,如同一份資安檢查表

為了瞭解這個資安成熟度評級服務的實際使用方式,我們從SecPaas平臺註冊,即可免費登入,接著就能夠找到「資安評級服務」的功能選項,再前往問卷連結作答。進入這個問卷網頁後,一開始需要使用者到電子信箱接受認證信,然後在網頁輸入驗證碼,才能使用。

這裡的問卷名稱為「智慧製造產線資安評級」,問卷內容包含了前述4項管理能力類別,各類別下並有對應的子題組。例如,在管理能力方面,包含資安管理、資安組織和意識、產線系統維護、實體安全與風險管理;在防禦能力方面,包含系統安全、身分與存取控制、系統與通訊保護與系統與資訊完整性;在偵測能力方面,包含系統日誌、偵測安全事件與威脅分析與警報;而在回應能力方面,包含系統減災與復原,以及安全事件回應計畫。

具體而言,每個子題組內會有多道題目,例如管理能力的資產管理一項,當中有7道題目要作答,例如:公司有針對工控系統導入完整開發之生命週期文件與檔案管理流程,而回答的選項則有「是」、「否」與「不確定」。

在SecPaas平臺上的資安成熟度評級工具,是專為製造業設計,使用者在註冊後即可免費登入使用,該工具以問卷形式呈現,也可視為一份資安項目檢查清單,且題組內已融合成熟度的概念。

成熟度概念已融合於問卷,系統會自動提供優先改善建議

而在全部題目作答完並送出後,我們可以看到平臺結合的評級機制,將對企業的整體表現給出A到E的等級以及評分,對於管理、防禦、偵測與回應4大能力的展現,同樣也會給出評級結果。透過這樣的量化指標,能讓企業對於自身表現更有概念。

特別的是,我們點選改善建議選項後,將可以看到系統會條列出需要改善的項目,當中包含可參考的標準、風險係數,以及簡單的說明。

然而,令我們感到疑惑的是,平臺上沒有顯示成熟度相關的指標,那麼這套工具在成熟度展現的方式為何?

會後我們再次詢問鍾銘輝,他表示,其實成熟度的概念已經融合與問卷之中,其實,他們已經預先將資安成熟度定義為5種等級。他舉例,像是防禦能力部分,他以身分識別為例,如果工控系統已可有提供辨識和驗證所有人員使用者,這是符合第二層級,如果做到使用者皆採多因素認證,則是符合第五層級。

不過,鍾銘輝說,他們並沒有在題目上列出這是符合何種成熟度層級,考量是使用者在填寫時,很可能因為想要達到哪一成熟度目標,而使得回答失真。此外,關於題目的計分與權重,他們並未透露,不過,平臺上的改善建議將會依據風險係數自動給出優先順序,因此,企業可以優先改善的目標,就是列在改善建議越前方的項目。

在資安成熟度評級服務的結果中,結合了評等的機制,讓企業對於管理、防禦、偵測與回應能力,以及整體資安成熟度,能有更直覺地掌握。

在自評結果完成後,們可以看到平臺還會提供改善建議並給出優先順序,也能讓企業持續評估以協助達到精進的目標。

關於這個成熟度評級服務的具體架構,鍾銘輝指出成熟度的概念已融合與問卷之中,他們都已有相關定義。

未來將擴增專家顧問服務,可為製造業帶來更多實質協助

綜合來看,這樣的資安成熟度評級服務,對於製造業而言,是入門資安的參考工具之一。因為內容已經精簡,同時也引入成熟度自評的方式,讓企業可從管理、防禦、偵測與回應層面,評估現況並找出未來強化目標。不過,要如何讓工具使用的更有成效?

在這套工具的推動與使用上,鍾銘輝表示,企業可以利用這套評估工具先行自我診斷,對於更細節的部分,使用者可以檢視完整標準,同時他也建議,如果要更好地使用這樣的工具,可由專業顧問帶領企業將評估做完,或是將報告結果與資安顧問討論升級選項,才會更貼近公司現況,或是會有更好的效果。

鍾銘輝說,這是因為,現在一些企業可能礙於本身沒有資安方面的人力資源,而在問卷初期開放階段,他就遇到這樣的案例。他說,有不少製造業的IT人員,在自行填寫時容易遇到困難,對於題目或標準的理解不夠清楚,若透過專家服務解釋,會有更多幫助,可讓企業仔細思考,公司自身是否真的有做到該項控制措施。

因此,鍾銘輝表示,未來他們希望藉由SecPaas扮演平臺角色,推動CISO(資安長)工作坊的機制,透過專家帶領大家逐一檢視題目,協助使用者瞭解回答的關鍵,以及判斷公司是否能夠做到題目要求,已協助產業更準確衡量自身現況。不過這樣的專家顧問服務,還在規畫當中,因此他們也還沒有提供費用相關的資訊。而對於SecPaas平臺上的企業,工研院將配合提供免費諮詢。

此外,他們也將持續調整問卷內容,依據現況調整每項功能項所符合的成熟度等級。

讓產業持續推動資安,評估具體精進方向是第一步

特別的是,在這場發表會的現場,出席的還有戴夫寇爾執行長翁浩正,以及思科臺灣首席資安顧問游証硯,因為他們也幫助了這次問卷內容的檢核。

對於做好資安這件事,他們提到了一些建議,例如,資安要有短期、中期與長期的規畫,透過成熟度的概念,可以知道企業下一步要投入多少資源與預算。

另外,對於工具的使用,翁浩正說明了更多他的看法。他說,現在已有非常多種的工具與標準,其實任何一種都能對企業帶來幫助,但重點是要讓企業在提升資安上,能有方向去遵循。對於是否只有這樣的工具可以用,大家可以持續討論,但他認為,目前這個成熟度評級工具會是一個好上手,又有人可以協助的工具。

這是因為,現在很多國內企業或製造業遇到的問題,可能是沒有資安策略,因此不知該做什麼。在這種情況下,就很容易被購買資安產品的模式牽著走,買完一個再買一個,因此他建議,如果能用更全觀的視野,利用資安標準與成熟度評估的方式,來找出提升資安的方向,對企業將是相當大的幫助。

今年舉行的SEMICON Taiwan國際半導體展,適逢SEMI 50周年,特別的是,隨著網路威脅的態勢,這項半導體產業盛會在這幾年也逐漸將資安化為展覽重點主題之一,在9月24日展覽現場的智慧製造專區中,經濟部工業局舉辦了資安成熟度評級服務的發表會。(左起為工研院資深研究員鍾銘輝、臺灣思科首席資安顧問游証硯、工業局科長林青嶔、戴夫寇爾執行長翁浩正、工研院副組長陳豫德)

製造業推動資安的困難與挑戰

對於資安成熟度評級服務的設計,鍾銘輝表示,他們是在今年4月確定計畫開始執行,一直到9月正式完成並對外發布。特別的是,在這次發表會中,他提到工研院的另一項計畫,是他們每年會針對國內產業抽查,不過,今年他們特別針對200人以上製造業,包括高科技、機械、汽車零組件、化工業,以及紡織與塑膠業,以瞭解他們在推動資安上的困難與挑戰,執行時間是從6月底到8月底。

在這次調查結果中,鍾銘輝表示,大多數企業面對三大困難。(一)第一大困難在於人力不足,不少情況是MIS人員兼著做資安,因此,如何快速知道企業自己的缺口在哪裡?就是挑戰;(二)企業希望看得到投入資安投資的報酬率,瞭解過去作為與現在有何不同;(三)企業內部除了採購資安解決方案,難以規畫完整的資安藍圖,因此在推動資安上顯得底氣不足。

關於這樣的調查,他們主要目的是印證國內各式製造業的現況,是否就是需要更易入門的工具與專家的協助,來幫助這些製造業提升資安。

 


Advertisement

更多 iThome相關內容