轉載國際自動化協會臺灣分會會長 – 林上智 (SZ Lin),於 2024 年臺灣資安大會中的分享。
在數位化時代背景下,ISA/IEC 62443 標準在保障軌道交通、電力、石油產業、半導體及醫療等關鍵基礎設施的網路安全方面發揮關鍵作用。這項標準隨著歐洲新法規如 Radio Equipment Directive和Cybersecurity Resilience Act 的實施,對加強產品網路安全措施的重要性日益增強。本次演講將聚焦於利用 ISA/IEC 62443-4-1 標準建立安全產品開發流程,以及實施 ISA/IEC 62443-4-2 中的產品安全功能時常見的誤區。
透過實際案例分析,將探討安全設計中的常見誤解和最佳實踐,包括持續威脅建模、安全測試和生命周期整合。此次分享將使產品製造商能更有效地實施這些標準,提升產品的安全性能。
以下為林會長整理出過去常見的幾大誤區,如有興趣可以進一步點擊 – 演講簡報下載連結 。
首先,針對 ISA/IEC 62443-4-1 常見的八大誤解如下:
常見誤解 01 『只需動用產品部門資源,便可符合 4-1 流程要求』
常見誤解 02 『通過 4-1 驗證後,所有產品都須遵守安全產品開發流程』
常見誤解 03 『公司已經通過 ISO 27001 驗證,因此可以在 62443 認證中大量重用其內容』
常見誤解 04 『產品中的開源軟體不是我們開發的,因此我們不需要對其進行安全評估』
常見誤解 05 『工控產品要做風險評估』
常見誤解 06 『Coding Standard 可以寫一份就好』
常見誤解 07 『使用弱點掃描工具已足夠』
常見誤解 08 『更新時,提供更新檔就好』
接下來,針對 ISA/IEC 62443-4-2 常見的十大誤解如下:
常見誤解 01 『產品只需要看 4-1 & 4-2 就好』
常見誤解 02 『Embedded Device 是嵌入式設備』
常見誤解 03 『Essential Function 是必要功能』
常見誤解 04 『Security Level 由產品製造商自行決定』
常見誤解 05 『Mobile Code 跟行動裝置有關』
常見誤解 06 『Input validation 只跟操作介面輸入有關』
常見誤解 07 『軟體完整性/ 真實性只要開機時檢查就好』
常見誤解 08 『DoS 類型自行挑選即可』
常見誤解 09 『每個條文是獨立存在的』
常見誤解 10 『現有產品透過更新軟韌體便能達到 4-2 合規要求』
林會長精心整理出的幾大常見誤區,其實也可以對應到近期許多臺灣的 OEM/ODM 設備製造商正在規劃的 EN 18031-1、EN 18031-2、EN 18031-3 標準合規策略,三項標準剛好對應歐盟 RED DA Article 3(3), point (d), (e), (f) 三項條文。在 EN 18031 標準的 A.2.2 附錄中有特別提到 Security by Design 的概念與可參考的標準,不難發現制定 EN 18031 標準的工作小組也推薦產品製造商們將 ISA/IEC 62443-4-1 和 ISA/IEC 62443-4-2 兩項標準列入參考。
文章出處:
ISA/IEC 62443-4-1 與 4-2 實戰應用:工控產品安全開發與實作中的常見誤解與最佳實踐 | 2024/May/16 臺灣資安大會的活動官網連結 – https://cybersec.ithome.com.tw/2024/session-page/2689
#CYBERSEC2024 #IEC62443 #工控產品安全開發與實作
延伸閱讀:
ISA Global Cybersecurity Alliance 團隊在 2024 年十月份特別邀請了 Eaton 的技術經理與 ISA 會員們進行「European Union Legislative Landscape: CRA, RED and their relation to ISA/IEC62443」Webinar,請點擊連結。
發佈留言