︿
Top

Gartner:虛實整合系統的新興管制、標準與架構

瀏覽次數:222| 歡迎推文: facebook twitter wechat Linked

科技產業資訊室 - Nathan 發表於 2022年5月20日
facebook twitter wechat twitter

圖、Gartner:虛實整合系統的新興管制、標準與架構

關於虛實整合系統的安全擔憂正在上升,主要原因包括: OT/IT聚合以及IoT/IIoT/smartX之努力,Gartner研究報告「速解:虛實整合系統的新興管制、標準與架構」(Quick Answer: Emerging Regulations, Standards and Frameworks for Cyber-Physical Systems Security),勾勒出安全與風險管理領導者應該意識到的新興法規、標準、架構。
 
各類犯罪動機日益威脅虛實整合系統安全
隨著安全威脅與事件興起,虛實整合正日益地成為惡意行動者鎖定的目標,不論是地緣政治擴張所誘發的民族國家、被恐怖主義所誘發的意識形態、貪婪所誘發犯罪,都促成許多虛實整合系統日益興起。

虛實整合系統(CPS)連結原本設計並不相連結的系統,有些裝置沒有安全設計,或者帶有充滿弱點的鑲嵌式零組件而急著進入市場。在特定的司法管轄區域內必須遵循的法律或管制,例如集權化管控或隱私中心的法律,特定鎖定對象如美國的管線營運商(pipeline operator)必須遵循的指令(directives)或者行政命令。

一般性及個別產業的標準與架構可被自願地採用,例如:ISA/IEC62443,或者NIST網路安全架構(NIST Cybersecurity Framework)。隨之而來的是,具有最寬廣涵蓋範圍的法律與管制規定,應用於特定司法管轄區域內的每個人,開始以幾類型態興起。
 
指令或行政命令(Directives or executive orders)
適用於特定組成的指定或行政命令也正在上升,例如,適用於美國聯邦政府的行政命令,或者特定於某些關鍵基礎環境相關組織的TSA安全指令(directive)。在歐盟,指令(directives)係設定所有歐盟國家必須達成的目標的立法法案。然而,個別歐盟國家可以設計關於如何達到這些目標的法律,這些要件必須接受評估與稽核,這些評估或稽核僅能由被授權組織或被批准組織來執行,Gartner是個獨立的顧問公司,而非評估組織。因此,並不提供關於如何符合與這些授權相關的安全管控之建議。
 
搭配ISA/IEC 62443標準與NISTIR 8183架構 是工業環境最佳實務
雖然標準提供洞察以及理想佈署之管控,並且在某些情況下強制遵守,但自願系架構提供最佳實務以降低共同安全風險,並且可在有需要時加以客製化,這些資源常常是重疊且互補的。例如,Gartner認為,搭配了ISA/IEC 62443標準與NISTIR 8183架構,是工業環境下的最佳實務途徑。
 
2022 Gartner View From the Board of Directors之調查
Gartner藉由此一調查,以了解BoD如何解決來自經濟與政治動盪以及多極世界的風險,以及它們對於加速數位動能轉化的熱切期盼。此調查也協助理解關鍵的整體社會議題對BoD之策略與投資途徑之影響,這些整體社會議題在新冠肺炎傳染病肆虐期間成為焦點。

此調查於2021年五月至六月間針對來自美國、歐洲與亞太地區之273個回卷者進行調查,調查結果顯示各國對集中化管控、消費者保護、關鍵基礎環境、架構(具有誘因或無誘因)之自願性採用、商業友善的安全港等多元的CPS安全推動策略。
   
企業資安部署現況之調查結果
根據Gartner的2022 View From the Board of Directors Survey之調查結果,72%的BoD正在對應風險、策略與績效以驅動商業韌性(Business Resilience),88% 的BoD視網路安全為商業風險,較2016年的58%來的更高。51% 的 BoD在過去兩年經歷了更多網路安全風險事件。有更多安全法律、管制及指令(directives)出現,更多高階管理人員將必須推出正式的監督計畫(oversight programs),報告中建議安全與風險管理領導者應熟悉相關實例。
 
各國虛實整合安全新興法規:
  1. 集權化管控
  • 中國相關法規:國家安全法(The National Security Law )(2015)、國家情報法(The National Intelligence Law) (2017)、網路安全法(The Cybersecurity Law) (2017)、資料安全法(The Data Security Law) (2021)、 弱點法規(The Vulnerability Regulation) (2021),這些法規強制要求製造商與政府合作,支持並協助政府之安全處置。2021年生效的新資料規定,限制智慧車與其他虛實整合系統所能蒐集儲存資料,以及資料持有期限。
  1. 消費者保護
  • 沙烏地阿拉伯物聯網管制架構。
  • 加州消費者保護:加州連結裝置安全法律強制要求製造商採取安全措施。
  • 英國保護智慧裝置之法律。
  • UNECE R155適用於六十餘國之汽車OEM廠商。
  • 美國Illinois州通過生物辨識資訊隱私法(Biometric Information Privacy Act, BIPA),產生數十億美金費用與和解。
  1. 關鍵基礎設施
  • 美國化學設施反恐標準(U.S. Chemical Facility Anti-Terrorism Standards,CFATS),專注於高風險化學設施之管制規定。
  • 關鍵基礎設施電力可靠度(NER-CIP)法規,針對北美大型電力供應商。
  • 海洋運輸安全法(Maritime Transportation Security Act, MTSA)( 2002 ):解決美國港口與水道安全問題,係執行國際船舶與港口設施安全規章(International Ship and Port Facility Security Code)。
  • 核電反應爐網路安全(NEI 08-09 Cyber Security Plan for Nuclear Power Reactors)
  1. 自願性採用
  • 美國FDA針對醫療儀器採用UL 2900-2-1:雖為自願性採用,但FDA的批准程序強制要求符合此一規定。
  • 友善業界之安全港措施:美國Ohio、Utah、Connecticut 已通過法律,當企業採取業界認可的網路安全措施時,該法案提供網路安全侵權時的免於法律訴訟之保護。
  1. 指令/行政命令
  • 歐盟指令:提升關鍵實體與網絡之網路韌性與實體韌性
  • 美國物聯網改善法(The U.S. IoT Improvement Act) :要求NIST針對銷售予美國政府之智慧裝置之網路安全標準提供最低標準
  • 美國行政命令14028(U.S. Executive Order 14028):納入作業技術。
  • 針對美國管線營運商之兩項指令:發生Colonial Pipeline 勒索軟體事件(ransomware incident)後,針對鐵路運輸與空運營運部門發布類似指令。
  1. 一般性標準與架構
  • 歐盟ENISA發布許多標準
  • 澳洲自願性實務規章
  • NIST網路安全架構(NIST Cybersecurity Framework, CSF)
  • NISTIR 8259A:物聯網裝置網路安全能力核心基準(IoT Device Cybersecurity Capability Core Baseline)
  • NISTIR8259B:NIST發布之物聯網非技術性支持能力核心基準(IoT Non-Technical Supporting Capability Core Baseline)及消費者物聯網標示指引
  • ETSI TS 103 645:建立網路連結之消費者虛實整合系統
  • 新加坡物聯網安全標示計畫。
  • 德國更新資訊科技安全法(IT-Sicherheitsgesetz)
  1. 特定產業之標準/架構
  • ISA/IEC 62443系列:針對工業與自動化控制系統。
  • 美國能源部電力設施之標準C2M2
  • NISTIR 8183:依據NIST CSF之製造特性。
(2048字;圖1)
 

參考資料:
Quick Answer: Emerging Regulations, Standards and Frameworks for Cyber-Physical Systems Security. Gartner, 2021/10/25.
 
 
相關文章:
1. 虛實整合系統(CPS)永續性的整體評估
2. 醫療保健領域中著名的虛實整合系統(CPS)之應用
3. 擴增實境之沉浸式體驗重塑零售與金融商品之虛實界線
4. Gartner提出製造資料分析策略:資料取得、脈絡化、視覺化
5. IDC:2022年台灣ICT市場十大趨勢預測
6. 從集合、整合、融合看工業4.0發展道路圖
 

 
歡迎來粉絲團按讚!
--------------------------------------------------------------------------------------------------------------------------------------------
【聲明】
1.科技產業資訊室刊載此文不代表同意其說法或描述,僅為提供更多訊息,也不構成任何投資建議。
2.著作權所有,非經本網站書面授權同意不得將本文以任何形式修改、複製、儲存、傳播或轉載,本中心保留一切法律追訴權利。