美國《2022年國家安全戰略》的資安之矛|專家論點【Howie Su】
資安已成為僅次於半導體的重點領域
2022年10月12日,美國白宮公布《2022年國家安全戰略》,發布時間在中國大陸二十大召開前,內容提及未來十年中國是「美國地緣政治最大挑戰」。值得一提的是,科技與製造業者成為報告重點之一,美國政府現在已經在科技與軍事發展、國安議題連成一體,所有技術與產品未來都可能被嚴格審視,必要是實施技術禁運,搭配資安標準作為後盾,也便於技術控管,避免前瞻科技落入競爭國家手上。《2022年國家安全戰略》具備兩大項目值得業者關注:強化製造業創新投資與建立強韌資安防護力,未來將可能由美國政府強力主導。
而在產業資安議題上,《2022年國家安全戰略》最重視的是供應鏈安全問題,根據美國身份竊盜資源中心的調查指出,2021年針對供應鏈源碼的攻擊次數增加41%,因此提升產業資安,特別是電子製造業的資安勢在必行,做法有二。第一為針對關鍵產業設立資安措施,例如電腦作業系統規範(如作業系統長期支援)、網路安全(如網路傳輸安全)、端點保護(如弱點掃描、惡意程式掃描、端點防禦機制、存取控制)、資訊安全監控;同時也強化工業控制漏洞,例如軟體、控制器、工業交換器、人機介面設備,這些設備一但癱瘓就容易造成嚴重損失。
第二為提升供應鏈可視性與資安,傳統產業供應鏈中所運用的企業資源規劃(ERP)與供應鏈管理(SCM)解決方案多用於內部資訊流通,而企業在供應鏈風險下須建立上中下游廠商間的資訊互通,以防止供需失衡問題。其中,提升各環節的可視性為部署重點,在數位技術基礎上,如物聯網、人工智慧、5G、雲端的支援下,有效協調各供應商間的合作,降低非必要延遲,同時企業必須建立各種數據傳輸的標準,使供應鏈上下游廠商可以進行可信任與透明化的資訊交換,而這樣浩大的工程需物聯網設備的參與,而這些都是資安業者可強化之處。
IEC 62443成為製造業資安主角
IEC 62443除應用於工業控制相產業外,也涵蓋能源、運輸、基礎建設產業,該標準是國際自動化協會(International Society for Automation,ISA)和國際電工組織委員會(International Electrotechnical Commission,IECEE)所推出的工業自動化控制資訊安全標準(Industrial communication networks – IT security for networks and systems),該標準重點在產品開發的流程、服務及系統整合,涵蓋安全需求定義、系統設計、系統導入、測試驗證、缺陷管理、產品週期,以生產出安全的工業系統,事實上,在疫情過後,IEC 62443 的發證數量開始快速成長,一大原因是製造業供應鏈的資安需求提高,未來三至五年應持續發展態勢。而為衡量成熟度,IEC 62443以能力成熟度模型整合(Capability Maturity Model – Integrated,CMMI)為基礎,發展出六個部分。
這六個部分分別為一般(General)、政策與程序(Policy and Procedure)、系統(System)、組件(Component)、設定檔(Profile)、評估方法(Evaluation),其中,設定檔與評估方法目前依舊處於發展階段,因此未來幾年內在工控資安領域仍然有相當調整空間,使IEC 62443逐漸完善。同時,IEC 62443將產業中的角色分成四種,分別為產品供應商(Product Supplier)、系統整合商 (System Integrator)、服務提供商(Service Provider),以及資產擁有者(Asset Owner)等,這四種角色再根據不同性質對應不同資安標準,分為針對系統、零組件、解決方案的「安全性標準」,與針對系統開發流程、安裝、設定、維護、更新的「程序標準」。
密切觀察資安是否成為未來封鎖措施
由於美國的管制範圍已從半導體延伸到人工智慧、微電子,以及量子電腦領域,同時也制定「對外投資審查機制」行政命令,審核流向特定中國大陸技術的資金,在軟硬體技術與資金的雙重夾殺下,台灣的製造業者或許可從中發現新市場。在技術與產品部分,關鍵基礎設施、網通、工控電腦、電子製造等產業可合組資安聯盟,網路防衛及通訊安全進行合作,如透過推動CMMC認證機制,一方面防止潛在國家支持的駭客組織入侵,一部分也可切入新興應用市場如電動車、人工智慧、5G、低軌衛星等產業鏈,將資安視為拓展未來市場的必要要素。
瀏覽 1,182 次