Page 49 - 銀行家雜誌第107期
P. 49

஢ܔඤ

                                                現職:關貿網路股份有限公司董事長
                                                學歷:國立台北大學企業管理系博士
                                                經歷:  家登精密工業(股)公司董事兼策略長、
                                                    華揚創業投資(股)公司董事長兼執行
                                                    長、德明財經科技大學行銷管理系專任副
                                                    教授及產學個案研究中心主任、國立暨南
                                                    國際大學國際企業學系兼任教授、康寧大
                                                    學健康數位科技學系專任教師


              相對IT網路較多以Confidentiality資料機密性保                   理人員需正面態度去了解各種可能所在場域會發
              全為優先考量。                                          生的威脅,考量資安風險再根據相關風險設定風
                  以管理責任區分來看,OT網路也多屬生產廠                         險控制措施,並搭配適當的技術措施確保防護有
              房廠長管理範圍,而IT網路屬資訊單位管理,在                           效性,避免風險評鑑只流於形式,建立這樣的心
              不同的優先順序考量下與不同的管理人員管理目                            態才能迎接資安的挑戰。
              標下,即使最簡單的作業系統更新這件事,也自
                                                               實體隔離真的安全嗎?
              然會有不同的考量。例如:作業系統更新,可能

              在IT環境,如辦公營業環境是規定於公告後 1 個                              OT網路多半透過實體隔離區隔於IT網路,
              月內完成,但若是產品或機台設備的OT環境的                            來確保資訊安全,然後我們所認知的實體隔離較
              話,既使作業系統為微軟作業系統,但往往也因                            安全,似乎在這次事件中破功了。事實上,之前
              為客製環境Driver等調整過,若無設備廠商的更                         ATM吐鈔事件或SWIFT偽造匯款電文的事件也都
              新測試等支援,難以單方面由IT管理人員進行更                           是發生在我們以為的實體隔離網路,究竟是實體
              新測試與調教,最後,即使有廠商提供更新,但                            隔離並不如想像安全嗎?還是仍有些躲在細節中
              要安排生產中的設備中斷進行更新,要承擔更新                            的魔鬼呢?細探究這三起資安事故,本次事件主

              後,可能有風險造成營運中斷或生產品質效率受                            角生產網路上的實體隔離就好像掛蚊帳一樣,將
              到影響,在這樣的考量下,負責的承辦單位或人                            床鋪與外界隔離,但或許大家都有些經驗,圍蚊
              員很可能會保守地採取盡可能保持環境不變動為                            帳時,若不小心將蚊子一起圍進來的話,那整晚
              原則,免得擔負更新後可能對生產造成影響的風                            就不得安寧了。所以實體隔離尤須注意如何管控
              險與責任。                                            進場的設備。
                  實際上,不僅是只有工廠生產網路會有這樣                               而ATM隔離網路或SWIFT的事件狀況比較偏
              的文化與資安考量上的衝突,其實在許多重要的                            向討論實體隔離中是否仍有存在串接內部網路與
              核心系統資安管理上,也可能存在類似的狀況,                            實體網路的中介串接網段議題,問題根因略有不
              系統負責人盡可能採取保守策略,不去做任何變                            同,但相同的是,一旦有辦法進入到隔離網路,

              動設定包含更新等,以免為防護資安事故,反而                            可造成的影響是相當嚴重的。在隔離網路中考量風
              先發生服務中斷或不穩定造成損失。管理者在心                            險發生時的控制措施,例如在隔離網段也可分區
              態上的調整是這樣的場域能否做好資安的關鍵,                            段透過防火牆保護,避免在災損透過網路擴散。
              不管是實體隔離的OT網路,或重要核心系統的                                 實體隔離有其一定程度的安全效果,但重要
              管理,現代生產產品設備也多可能採用開放式協                            的是,面對新業務需求而必須開放存取時,是否
              定,方便的同時也引入可能的威脅風險,因此管                            仍有依照最小權限原則去開放各區的存取控制,






                                                                                                            49
                                                                                         台灣銀行家2018.11月號





   1          5%     JOEE                                                                                                 ɪʹ
   44   45   46   47   48   49   50   51   52   53   54