調查

查其他同業是否有案例
台積電產線中毒大當機，52億元資安震撼教育
工業電腦大廠研華證實部分伺服器被攻擊
仁寶否認勒索軟體攻擊傳聞，並認為疑似是駭客入侵造成網路異常

搜尋相關討論文章
勒索軟體對製造業網路的衝擊

分析的方向
根據Risk，要確認Process有將Technology放在適當的地方做Control

產業需要注意的地方

• IT與OT差異
  • 需毫秒級的回應
  • 運作時間長(20年以上)
  • 不能隨意關閉
  • 可能直接影響人命
  • 設備處理效能較差

架構圖

利用Purdue企業模型分開IT及OT，將設備分類不同的Level，並使用不同的管理稽核

來源:
https://subscription.packtpub.com/book/networking_and_servers/9781788395151/1/ch01lvl1sec10/the-purdue-model-for-industrial-control-systems

Cisco這張圖將傳統網路拓譜圖加上Purdue企業模型，方便查看跨Level有沒有相對應的防禦或控制

來源:https://www.cisco.com/c/en/us/td/docs/solutions/Verticals/CPwE/5-1/OEM/WP/CPwE-5-1-OEM-WP/CPwE-5-1-OEM-WP.html

接著與ISO27001一樣流程，四階文件、資產盤點、風險分析、風險評鑑...

安全控制

IEC62443 3-3 控制系統(Control System, CS)，首先確認目標需要達到的security levels(SL)

圖片來源:https://syc-se.iec.ch/deliveries/cybersecurity-guidelines/security-standards-and-best-practices/iec-62443/

• IEC 62443-3-有七個foundational requirements(FR)
  • FR1-Identification and authentication control(IAC)
  • FR2-Use control(UC)
  • FR3-System integrity(SI)
  • FR4-Data confidentiality (DC)
  • FR5-Restricted data flow(RDF)
  • FR6-Timely response to events(TRE)
  • FR7-Resource availability(RA)

下圖是FR1的security requirements(SR)及requirement enhancements (RE)，越高的SL需要完成更多的RE

圖片來源:https://www.slideshare.net/Yokogawa1/secure-systems-security-and-isa99-iec62443

根據要求從帳號密碼控制，帳號權限管控，多因子驗證及活體偵測等等往上增加security levels

供應商安全計畫要求

以台積電為例，成立供應商資訊安全協會，逐步要求供應商達到一定的安全水準，避免防護能力弱的一方成為破口。

圖片來源: https://csr.tsmc.com/csr/ch/update/innovationAndService/caseStudy/23/index.html

DevSecOps

將資安掃描工具整進CI/CD流程，一來在開發期間提早發現問題做修改，二來使用自動化腳本減少人力負擔
這需要將資安的觀念帶給開發及維運人員(教育訓練)，使資安思維融入每個環節，資安單位也需要去理解其他部門為什麼會這樣做，在控制的力道達到一個平衡點並視情況使用補償措施。

圖片來源: https://www.dau.edu/cop/cybersecurity/DAU%20Sponsored%20Documents/5.%20%20Day%20of%20Cyber_DevSecOps.pdf

建議參考資料

經濟部-01-工控物聯網共通性資安指南
02-工控設備業工控物聯網資安實務指南