TJPO於2019年3月14日(四)與資策會資安所共同舉辦工控資安研討會,現場包含油、水、電事業相關人員、工控系統整合服務業者、資安服務業者、工廠自動化業者、控制設備與通訊產品等業者,共百位業界先進共同參與,聆聽日本在工控資安領域之最新動態與解決方案。
研討會由工業局電資組林俊秀組長開場致詞,說明工控資安已是國安層級議題,需要提升國民對工控資安的認知,才能大幅降低未來面臨的各種風險威脅。場次一:由日本控制系統安全中心事務局長村瀬一郎主講「控制系統資安最新動態」,首先介紹工控系統的構成,範圍包括工控系統網路、化學領域、電力領域、大樓工控系統與雲端工控服務,接著從機密性、完整性、可用性三個網路安全原則,說明資訊系統與工控系統安全的重要。並以案例分享,闡述勒索病毒與惡意軟體如何在工廠中傳播,造成工廠生產製造的停擺。接著解釋工控系統安全措施的基本概念,從安全措施的整體概觀到基本原則進行講解,最後分享日本控制系統安全中心如何做滲透測試的事前準備與測試流程。
場次二:「NEC在控制系統安全領域的經驗和實績」由NEC安全研究實驗室資深經理藤田範人進行主講。首先以2018年韓國冬季奧運網路攻擊為例,試問2020年東京奧運能否做好完全準備為開場,從物理、規則、技術、運用、組織和人,六個方面來思考「應完成的工作」。在日本因相關規則、標準的制訂較慢,因此參考或活用海外的相關規則與標準是訂定公司政策的最佳選擇。在物理面的安全對策上,將「IT網絡安全」、「OT網絡安全」、及「物理安全」統合為一體的安全管理模式才是優良的模式;在人的安全對策上,說明招聘和篩選可靠、稱職和安全的人員的重要性,針對人的方面制定積極明確的安全對策計劃是當務之急;最後在技術面,展示了NEC在控制系統資安上所做的相關研究開發。
圖1:工業局電資組林俊秀組長開場致詞(資料來源:TJPO)
圖2:講師村瀬一郎分享控制系統資安最新動態(資料來源:TJPO)
圖3:講師藤田範人分享NEC在控制系統安全領域的經驗和實績(資料來源:TJPO)