Gartner：虛實整合系統的新興管制、標準與架構

關鍵字：()；()；()；()；()；()；

瀏覽次數：998｜歡迎推文：

科技產業資訊室 - Nathan 發表於 2022年5月20日

圖、Gartner：虛實整合系統的新興管制、標準與架構

關於虛實整合系統的安全擔憂正在上升，主要原因包括： OT/IT聚合以及IoT/IIoT/smartX之努力，Gartner研究報告「速解：虛實整合系統的新興管制、標準與架構」(Quick Answer: Emerging Regulations, Standards and Frameworks for Cyber-Physical Systems Security)，勾勒出安全與風險管理領導者應該意識到的新興法規、標準、架構。

各類犯罪動機日益威脅虛實整合系統安全
隨著安全威脅與事件興起，虛實整合正日益地成為惡意行動者鎖定的目標，不論是地緣政治擴張所誘發的民族國家、被恐怖主義所誘發的意識形態、貪婪所誘發犯罪，都促成許多虛實整合系統日益興起。

虛實整合系統(CPS)連結原本設計並不相連結的系統，有些裝置沒有安全設計，或者帶有充滿弱點的鑲嵌式零組件而急著進入市場。在特定的司法管轄區域內必須遵循的法律或管制，例如集權化管控或隱私中心的法律，特定鎖定對象如美國的管線營運商(pipeline operator)必須遵循的指令(directives)或者行政命令。

一般性及個別產業的標準與架構可被自願地採用，例如:ISA/IEC62443，或者NIST網路安全架構(NIST Cybersecurity Framework)。隨之而來的是，具有最寬廣涵蓋範圍的法律與管制規定，應用於特定司法管轄區域內的每個人，開始以幾類型態興起。

指令或行政命令(Directives or executive orders)
適用於特定組成的指定或行政命令也正在上升，例如，適用於美國聯邦政府的行政命令，或者特定於某些關鍵基礎環境相關組織的TSA安全指令(directive)。在歐盟，指令(directives)係設定所有歐盟國家必須達成的目標的立法法案。然而，個別歐盟國家可以設計關於如何達到這些目標的法律，這些要件必須接受評估與稽核，這些評估或稽核僅能由被授權組織或被批准組織來執行，Gartner是個獨立的顧問公司，而非評估組織。因此，並不提供關於如何符合與這些授權相關的安全管控之建議。

搭配ISA/IEC 62443標準與NISTIR 8183架構 是工業環境最佳實務
雖然標準提供洞察以及理想佈署之管控，並且在某些情況下強制遵守，但自願系架構提供最佳實務以降低共同安全風險，並且可在有需要時加以客製化，這些資源常常是重疊且互補的。例如，Gartner認為，搭配了ISA/IEC 62443標準與NISTIR 8183架構，是工業環境下的最佳實務途徑。

2022 Gartner View From the Board of Directors之調查
Gartner藉由此一調查，以了解BoD如何解決來自經濟與政治動盪以及多極世界的風險，以及它們對於加速數位動能轉化的熱切期盼。此調查也協助理解關鍵的整體社會議題對BoD之策略與投資途徑之影響，這些整體社會議題在新冠肺炎傳染病肆虐期間成為焦點。

此調查於2021年五月至六月間針對來自美國、歐洲與亞太地區之273個回卷者進行調查，調查結果顯示各國對集中化管控、消費者保護、關鍵基礎環境、架構(具有誘因或無誘因)之自願性採用、商業友善的安全港等多元的CPS安全推動策略。

企業資安部署現況之調查結果
根據Gartner的2022 View From the Board of Directors Survey之調查結果，72%的BoD正在對應風險、策略與績效以驅動商業韌性(Business Resilience)，88% 的BoD視網路安全為商業風險，較2016年的58%來的更高。51% 的 BoD在過去兩年經歷了更多網路安全風險事件。有更多安全法律、管制及指令(directives)出現，更多高階管理人員將必須推出正式的監督計畫(oversight programs)，報告中建議安全與風險管理領導者應熟悉相關實例。

各國虛實整合安全新興法規：

集權化管控

中國相關法規：國家安全法(The National Security Law )(2015)、國家情報法(The National Intelligence Law) (2017)、網路安全法(The Cybersecurity Law) (2017)、資料安全法(The Data Security Law) (2021)、弱點法規(The Vulnerability Regulation) (2021)，這些法規強制要求製造商與政府合作，支持並協助政府之安全處置。2021年生效的新資料規定，限制智慧車與其他虛實整合系統所能蒐集儲存資料，以及資料持有期限。

消費者保護

沙烏地阿拉伯物聯網管制架構。
加州消費者保護：加州連結裝置安全法律強制要求製造商採取安全措施。
英國保護智慧裝置之法律。
UNECE R155適用於六十餘國之汽車OEM廠商。
美國Illinois州通過生物辨識資訊隱私法(Biometric Information Privacy Act, BIPA)，產生數十億美金費用與和解。

關鍵基礎設施

美國化學設施反恐標準(U.S. Chemical Facility Anti-Terrorism Standards,CFATS)，專注於高風險化學設施之管制規定。
關鍵基礎設施電力可靠度(NER-CIP)法規，針對北美大型電力供應商。
海洋運輸安全法(Maritime Transportation Security Act, MTSA)( 2002 )：解決美國港口與水道安全問題，係執行國際船舶與港口設施安全規章(International Ship and Port Facility Security Code)。
核電反應爐網路安全(NEI 08-09 Cyber Security Plan for Nuclear Power Reactors)

自願性採用

美國FDA針對醫療儀器採用UL 2900-2-1：雖為自願性採用，但FDA的批准程序強制要求符合此一規定。
友善業界之安全港措施：美國Ohio、Utah、Connecticut 已通過法律，當企業採取業界認可的網路安全措施時，該法案提供網路安全侵權時的免於法律訴訟之保護。

指令/行政命令

歐盟指令：提升關鍵實體與網絡之網路韌性與實體韌性
美國物聯網改善法(The U.S. IoT Improvement Act) ：要求NIST針對銷售予美國政府之智慧裝置之網路安全標準提供最低標準
美國行政命令14028(U.S. Executive Order 14028)：納入作業技術。
針對美國管線營運商之兩項指令：發生Colonial Pipeline 勒索軟體事件(ransomware incident)後，針對鐵路運輸與空運營運部門發布類似指令。

一般性標準與架構

歐盟ENISA發布許多標準
澳洲自願性實務規章
NIST網路安全架構(NIST Cybersecurity Framework, CSF)
NISTIR 8259A：物聯網裝置網路安全能力核心基準(IoT Device Cybersecurity Capability Core Baseline)
NISTIR8259B：NIST發布之物聯網非技術性支持能力核心基準(IoT Non-Technical Supporting Capability Core Baseline)及消費者物聯網標示指引
ETSI TS 103 645：建立網路連結之消費者虛實整合系統
新加坡物聯網安全標示計畫。
德國更新資訊科技安全法(IT-Sicherheitsgesetz)

特定產業之標準/架構

ISA/IEC 62443系列：針對工業與自動化控制系統。
美國能源部電力設施之標準C2M2
NISTIR 8183：依據NIST CSF之製造特性。

(2048字；圖1)

參考資料：
Quick Answer: Emerging Regulations, Standards and Frameworks for Cyber-Physical Systems Security. Gartner, 2021/10/25.

相關文章：
1. 虛實整合系統(CPS)永續性的整體評估
2. 醫療保健領域中著名的虛實整合系統(CPS)之應用
3. 擴增實境之沉浸式體驗重塑零售與金融商品之虛實界線
4. Gartner提出製造資料分析策略：資料取得、脈絡化、視覺化
5. IDC：2022年台灣ICT市場十大趨勢預測
6. 從集合、整合、融合看工業4.0發展道路圖

歡迎來粉絲團按讚！

--------------------------------------------------------------------------------------------------------------------------------------------