Credit: Unkonwn (Skritch, Skritch)
靈感來源: UCCU Hacker
這次的故事又回到我們的支援工程師小華,
小華跟小彎都是同時畢業的小菜鳥,但小華進入職場的時間比較早,
而這次要講的故事是小華進入工廠廠區的故事。
小華這次跟著前輩一起去做報告,第一次進入廠區十分的興奮,
而這次報告的內容是公司對不同廠區做資安健診的建議與內容,
小華想說身為台灣重要產業的這些廠商,資安一定做得很好吧!
雖然聽不到有趣的內容,但是難得到工廠還是難得的體驗。
會議開始,當會議進展到作業系統盤點的清單的時候,
小華看到了比他年紀還大的作業系統名稱(e.g. Windows NT, Windows 95),
當下傻眼了(可以猜猜小華可能是甚麼時候出生的),
但大家似乎是習以為常。
前輩:這次我們掃描的廠區有!@#$%,其中有部分已經停止支援很久的作業系統
甲方:等等,這些我們都知道,你們不是第一個提的,繼續往下吧
前輩:我們服務那麼多客戶,我們也知道 OT 區域的機台大部分都停止支援了,所以這不是我想表達的。
前輩:這次服務並沒有直接進入 OT 區網路進行掃描,但我們的自動化檢測有發現 OT 區的電腦。
前輩:我們認為 OT 區的網路可能沒有完全隔離,所以建議檢查這塊。
甲方:(!!!!)
小華(心裡感嘆):原來就算產值這麼大的公司還是會有疏漏的
這個故事的發生地點是工廠,
以資安來講有分 IT 與 OT 安全,我們沒辦法以 IT 的安全來看 OT 安全,
先講講 IT 吧,在討論資安的時候大概會以這幾種為討論優先權
機密性、完整性和可用性(confidentiality, integrity and availability)
真要排個類別,資安人士通常會說這是 CIA,機密性優先再來討論完整性與可用性。
但 OT 領域就不同了,OT 資安算是近幾年被高度注重的事情,
其中有太多歷史共業與機台無法替換的問題,
例如:
OT 領域如果你去看國際 OT 資安標準,例如 IEC 62443,
你會發現強調的是 AIC ,可用度為優先,在不影響產線的情況下做最好的資安決策,
這會是 OT 領域的挑戰也是這些公司需要的。
會到我們主題,上古神機可能比閱讀這些文章的你年紀還大的主機,
這些機器真的就該死嗎?我想答案是否定的,因為在不影響生產的情況下,
不升級、置換是較好的選擇。那麼對於企業,要怎麼把它做得更好呢?
在這邊提出一些小建議: