前往主要內容
工商時報LOGO

美國防堵工業資安危機 訂定ICS原則

  • 林昱均

已將目前網頁的網址複製到您的剪貼簿!

美國總統拜登於7月28日簽署一份正式備忘錄,美國政府未來將針對民營企業所使用的工業控制系統(ICS)訂定網路安全監管原則。資誠(PwC)會計師事務所3日指出,台商企業應採用符合OT/ICS產業特性的風險評估方法,藉此達成美國安全信任、韌性設計和全面啟動OT網路防禦等目的。

資誠智能風險管理諮詢公司執行董事張晉瑞表示,保護工業控制系統免受網路威脅的第一步是了解企業關鍵業務流程,進而識別出所處產業可能遭遇到的特定風險。

張晉瑞建議,美國重點在鼓勵企業以協助領導者及供應鏈建構合理的OT安全防禦策略,確保企業快速並安全享受工業4.0與智慧製造相關的產業創新,最終建立起民眾與消費者所依賴之基礎民生服務的信任。

工業控制系統(ICS)訂定網路安全監管原則包括工業控制系統相關的生產流程、製造流程、供應鏈流程、通路經銷流程、以及數據採集流程的系統供應商與設備商,其相關的網路安全防禦機制未來都必須納管。

由於2021年五月美國石油工業和食品工業的基礎民生服務受到嚴重的駭客威脅,拜登政府承諾採取具體行動。美國國土安全部運輸安全管理局立即頒布新規定,要求油氣管線的資產擁有者和運營商立刻實施緊急網路安全保護措施。

備忘錄發表記者會中,拜登表示未來包括水處理、廢水處理、化工產業,以及其他重要的關鍵基礎設施,也將採取對等的具體安全防禦行動。拜登指出,這是一個建立國家安全的信任問題。人民期待基礎民生服務是安全可靠的,以及相信政府和私營部門的關鍵基礎設施防禦等級能夠防禦無時無刻的網路安全威脅。

依照美國「改善關鍵基礎設施工業控制系統網路安全國安備忘錄」規劃,未來ICS原則將採兩大主軸,包括網路安全防禦目標、鼓勵擴大防禦技術和系統部署。

網路安全防禦目標主要為關鍵基礎設施擁有者和運營商應遵循最佳安全實踐基準,以保護國家經濟安全以及公共醫療安全 。美國網路基礎設施安全局(CISA)與美國國家標準技術研究院(NIST)將於2021年9月22日提出網路安全目標如何訂定的初稿。在與相關機構協商後,最終的跨部門目標和特定部門目標將在一年內完成訂定。

在鼓勵擴大防禦技術和系統部署方面,美國鼓勵民營企業自願納入「正式」的工業控制系統(ICS)網路安全防禦計畫。防禦計畫範圍內的安全技術和系統須符合提供網路威脅的可視性、決策機制、偵測能力和告警能力;提升重要工業控制系統和運營科技網路的安全意外事件回應能力。

您可能感興趣的話題

返回頁首
LOADING

本網頁已閒置超過3分鐘。請點撃框外背景,或右側關閉按鈕(X),即可回到網頁。