2019年10月15日 星期二

100%客製方案 資安缺了OT就Out!


每一波漲潮,《財訊月刊》的讀者都賺到了!!訂閱【財訊電子報】讓您邁向致富之路,從劣勢成為贏家!! 【臺北畫刊】網羅生活休閒、觀光旅遊等豐富資訊,深刻描繪臺北生活圈的點點滴滴,教你情不自禁愛上臺北!
★ 無法正常瀏覽內容,請按這裡線上閱讀
新聞  健康  u值媒  udn部落格  
2019/10/16 第452期  |  訂閱/退訂  |  看歷史報份  |  能力雜誌網站
精選文章 100%客製方案 資安缺了OT就Out!
情境化學習 好想說英語!
 
100%客製方案 資安缺了OT就Out!
文/葉小慧
IBM作為資訊產業的長期領導者、跨國科技與服務諮詢公司,生產並銷售硬體、軟體與解決方案,並且為系統架構建置和網路代管提供產品、諮詢與技術服務。IBM旗下的IBM資訊安全事業部(IBM Security)提供整合式企業資安產品與服務,每天在全球130多個國家與地區監測700億次資安事件,且已獲得超過1萬項資安專利,近年則將科技製造業的OT (Operational Technology)資安防護列為推廣服務首要目標之一。

很多企業總認為做資安防護,是不是砸錢就可以買到心安?「資安沒有萬靈丹,而是一步一腳印的東西。」IBM資訊安全部門全球威脅情報防禦產品協理謝明君十分肯定地回答。由於各產業的特性、組織結構、預算,以及可承受的營運風險等條件大不同,謝明君坦言,「安全防護不像做餅乾一樣規格化,因為每個企業的需求跟情境不盡相同,很難有一體適用的資安解決方案。」

以製造業為例,從研發、製造到上下游供應鏈廠商,需要從相關的資料、識別、威脅情報、甚至是裝置本身的落差問題進行評估,來決定哪些是優先強化項目。時效也很重要,「資安基本上不能有時差。」串聯所有資訊,即時更新,對資訊長或資安人員才有足夠的參考價值。

沒出事≠沒被駭

謝明君也指出企業端常有的迷思,「沒發生資安事件≠沒有被感染,事實上駭客的潛伏期很長,從1年到4∼5年的都有,甚至企業從頭到尾都不知道。」其次,「不要相信自己都沒事,也不要認為自己(的防護)已經做到百分百。資安防護只有更好,沒有最好。」既然連網問題多,乾脆斷網吧!這樣總不會被駭了吧?謝明君直言「沒這回事!」雖然為了保護重要資料,企業會運用「氣隙」(Air Gap)技術將其與網路斷開連結,但仍然有專家研究出破解方式,並沒有絕對保險的做法。

對許多企業來說,資安事件是不能說的祕密,一旦消息走漏將對公司形象造成重大打擊,因此謝明君認為,「資安風險就是商業風險。」企業領導者必須盡快覺知到這一點,有些老闆的心態是交給IT或資安長就搞定,但資安認知與防護不能只靠少部分人努力,而是全組織的共同任務。像資安政策往往會包含員工與各級單位要遵守的許多規範,如果組織成員有便宜行事的態度就容易讓企業的防線破功;要做資安也會有添購軟硬體等需求,唯有不同單位,例如:營運、財務等不同單位都認同資安的重要與必要,願意全力給予資安單位或專案支持,企業對外的抵禦力才有機會變得健全。

拉起OT防護線

IBM資訊安全部門至今在台灣已服務超過200家以上客戶,包括各大製造業多種產品線,隨著萬物聯網的趨勢到來,製造業積極朝工業4.0轉型,在OT領域開始引入IT方案,以提高生產效率、改善工廠營運。然而,落實製造自動化、智慧化後,IT與OT彼此的串聯介接成為常態,無論軟硬體的虛實整合,或產線機台與機台間的高度串聯,資安威脅跟著不再限於IT領域,工廠生產製造系統的安全防護正亮起紅燈。但OT的安全防護如何拉到與IT一致的水準?特別是對製造業而言,OT設備一旦被駭,損失將難以估計。

謝明君舉例說明,「像是製藥業通常是連續製程,一站接一站沒有回頭路,當一批貨走錯路,可能讓藥品遭到污染。幸運的話在品管階段就報廢掉,但也有可能最後流到市面上,演變成藥物安全問題。再看電池製造業,一旦生產線上有問題沒被偵測到,生產的電池可能反應不靈敏、壽命短,甚至會有爆炸問題。」

但以台灣半導體業為例,設備機台通常是整廠輸入,從生產機台、系統、協定到介面整套購買,資本支出也相對較高,這是由於機台的任何數據變動都將影響良率的判讀,基於生產線穩定運作的考量,非必要的情況下也不允許變動。

正因如此,許多設備機台常維持出廠時安裝的舊版作業系統,業者既不敢輕易將作業系統升級,也未能落實更新漏洞修補程式,形同毫無設防。一旦機台不幸被駭,就會迅速造成生產停擺,良率、出貨量乃至機台稼動率等表現都會受到衝擊,繼而反映在財報上,重重衝擊整個企業組織。

從工廠機台到整個生產線管理,以製造業而言,這部分所產生的資料量不僅最多,也最為關鍵。該資料不但是研發製程與工廠營運重要的依據,也是企業董事會或業務管理者進行後續佈局與規劃的決策基礎。無論資安事件的起因是透過網路專線感染,或機台定期維修時的軟體更新失控,即使只是一個尚未造成嚴重損失的威脅,仍可能因為資料在生產網絡中、甚至是供應鏈上下游廠商間不斷交換,傳遞錯誤的情報,最後導致整體失敗的決策。因此,「針對OT,最重要的就是安全,還有系統和數據的可靠性。」謝明君十分明快的做出結論。

那麼,製造業面臨的資安威脅究竟有哪些?歐盟於2017年針對製造業提出OT資安白皮書(Communication Network Dependencies for ICS/SCADA Systems),該報告觸及能源油水電業、電子製造業、汽車航太業、醫療設備業到製藥業,並分析對工業界的工業控制系統(Industrial Control Systems, ICS)、可程式邏輯控制器(Programmable Logic Controller, PLC)、資料蒐集與監控系統(Supervisory Control and Data Acquisition, SCADA)常見的攻擊手法,謝明君舉出其中3種最容易受到攻擊的情境。

一部機台都不能少

第1種是在整個生產流程上,直接把機台所處區段封鎖,讓機台無法與控制工作站連線,導致機台無法正常運作;第2種是改變機台的感測器初始值,假設某部分機器的轉速,舉例而言,原本允許的是每分鐘1,400轉,經駭客篡改調高到超過轉速臨界值,就有可能造成故障、爆炸等問題;第3種是修改或破壞生產流程的標準管控機制。

以製藥業為例,通常是完成一個製程後就會搭配量測檢測關卡,假設駭客針對感測器動手腳,比如將偵測藥品上的灰塵容許數從原先設定的10個改成20個,再加上最末端的品質控管參數也被修改的情況下,廠商在不知不覺間就連續生產了大量有問題的藥品,甚至直到流出市面還完全沒有察覺。

想針對這些資安威脅一一排除,首先要回歸到台灣製造業的現實面來思考,謝明君在與各家廠商交流時發現,原本製造機台設備在出廠時可能僅設定15∼20年的使用年限,但機台用了十幾年後,在設備還能使用的情況下,如果要購置全新的機台,價位十分昂貴,是否要報廢就是個艱難的決定,在這期間就得面臨原廠不再提供修補程式(Patch)的問題。企業常面臨的狀況是運用活絡的二手交易、租賃市場取得機台器材等,在缺乏原廠維護的情況下,僅能抱著僥倖心態維持產線的運作。

另外,因為製造生產線上機台類型眾多,有些業者認為只要把防護重心放在特定的重要機台,例如:半導體製程的黃光區、蝕刻區即可,謝明君強調,整個廠區其實是一個整體,資安防備「一個都不能少,任何一個機台都不能輕忽!」

除此之外,事件應變(Incident Response)的工作非常重要,要做好最周全的準備及最壞的打算,當「萬一有一天被駭」的突發狀況來時,也才能及時因應,將損失與影響降到最低。

找到對的夥伴

除了利用軟硬體搭建起資安防護系統,如何防範人為疏失也越來越重要。根據2019年IBM X-Force資安威脅報告指出,在2018年外洩的27億筆資料中,有9億9,000萬筆是源自於雲端伺服器配置不當。謝明君分析,人的因素可以分為有意和無心。比方機台設備商進行軟體更新時感染病毒通常是無心造成,因此須關注線上作業員或製程工程師的操作有沒有遵循SOP?如何把防呆機制做得淋漓盡致?

惡意部分也得防範,內部人員惡意行為可能造成中斷生產、智慧財產權遭竊、損害商譽、將敏感資料洩漏給第三方等,造成嚴重危害。IBM的解決方案是透過使用者行為分析(User Behavior Analytics, UBA)與QRadar安全情報管理平台整合,運用安全情報管理平台的日誌與流量資料,快速偵測出異常行為並評定使用者風險分數,列出須進行調查的人員或新增到觀察名單當中,「確保每一個動作都是對的人,在對的時間、對的地方、做對的事情。」

不過,作為第三方的資安防護解決方案提供者,謝明君直言因為資安的敏感性,有時聽到廠商轉述夥伴的狀況「生產線出問題了3天沒解決,能否找到過去紀錄良好、技術底子深厚且還具備產業領域知識的夥伴或團隊來救援?」卻無法提供更多細節,謝明君也只能提出概略的建議,其實都已經慢了好幾步。

謝明君認為,不論是企業打算在內部成立專責單位,或尋求外部資安夥伴,領導團隊的決心和意識都扮演重要的驅動角色,資安長必須將想法與財務長、營運長進行溝通,「要站在管理階層的立場講出他們在乎的話。」從對方角度思考可能的產能利用率、資本支出、對財報可能的衝擊,才能達成一致的意識與決心。

當企業處於資安專業人才暫時不足的轉換期,也可以藉由IBM的服務或顧問團隊,從分析公司營運特性著手,先一步建構客製化資安防護解決方案。

例如:IBM推出的IBM X-Force Exchange威脅情報共同平台,以及X-Force C-TOC行動作業中心,能夠加以分析各項指標得到高階威脅情資,並立刻建議最佳化的因應措施,包括將情資送到IBM的安全免疫系統中樞QRadar,或透過標準介面與客戶既有的資安環境整合介接,形成協同運作的資安防護網。

產業新商機的崛起

面對萬物聯網時代的到來,謝明君認為除了人人都要更關注資安威脅以外,它同時也帶來產業的新機會。

像是電子產業及半導體業過去以ODM/OEM模式為主,原本已提供一條龍式的製造生產服務,如果能趁著這波資安升級,同時融合安全防護、個資法、資料保護法等重要元素,率先加入設計服務或生產服務當中,就能將威脅與風險轉為製造業勝出的助力。

【本文出自《能力雜誌》2019年10月號;訂能力電子雜誌;非經同意不得轉載、刊登】

情境化學習 好想說英語!
文/魏秀蘭、徐瑋婕
英語是全球共通的語言,根據統計有超過70國將英語列為官方語言,涵括人口數更是超過21億人,約占全球1/3人口。面對國際化的浪潮,國家發展委員會以2030年為目標,打造台灣成為雙語國家,並召開跨部會協調會議,藉此帶動全民學習英語的風氣。隨著數位科技與時俱進,英語學習方式更加全面與多元,不僅僅只有在非正規的教育系統使用,看似保守的學校正規教育,也已經引入更多創新及變革。

國際移動力&語言學習

語言的「使用」一直以來是英語教學的關鍵,而聽、說、讀、寫能力的培養更是英語教學課程的重心,期待英語不再只是考試的成績,而是學生作為與世界溝通交流的工具。隨著時代迅速變遷,日新月異的科技讓世界變小了,不同文化的往來越來越頻繁。不論是在虛擬的網路世界或是面對面的實體接觸,英語作為溝通的角色不變,更進一步的, 2018年經濟合作暨發展組織(Organization for Economic Co-operation and Development, OECD)在國際學生能力評量計畫(Programme for International Student Assessment, PISA)中提到,未來PISA除了評量閱讀、數學、科學能力之外,增加了「國際力」(Global Competence)。而「國際力」的定義是什麼呢?可以分成以下3點:1.根據這份文件的定義,在尊重人性尊嚴的前提下,個人能有從多元觀點來分析全球與跨文化議題的評斷能力;2.能充分理解差異如何影響自己及他人對事情的看法、判斷與詮釋;3.能開放地、合宜地、有效率地投入與不同背景的夥伴互動交流。

以台中市文華高中為例,除了縝密規劃的總體課程外,扎實的課堂英語教學以及學校提供的國際交流機會,為學生創造真實情境,協助學生具備「語言力」「專業力」,以作為他們未來「國際移動力」(Global Mobility)的基礎。那麼如何引起學生的學習動機呢?除了傳統的方式外,文華高中使用了多種「招數」來引起學生的注意,提高學習的動機。

情境化學習&口語實戰

在英語課堂上,最主要的就是提供學生練習聽、說、讀、寫的機會。首先,聽、說的練習兼顧108課綱所提的「情境化學習」(Contextualized Learning),生活化的情境讓學生覺得英文使用與生活息息相關;其次,不定時教授國際時事等文章,培養學生關心國際事務、培養國際觀;最後,鼓勵學生參加校外各式比賽,例如:全國性英語演講比賽、英語作文比賽、英語說故事比賽、英語簡報比賽、英語詩歌朗讀比賽、全國性的英語配音比賽等。

除了透過比賽來鍛鍊,是否還有其他方式增加實戰經驗呢?透過擔任親善大使或許是一個好方法,某些高中成立使節團,培養學生擔任親善大使,負責接待來訪的國外友校。這些親善大使藉由向外國嘉賓介紹學校的歷史、課程規劃外,也能分享自身熟悉的課外活動、校園景點,這些行為都可以培養學生使用英文的勇氣以及機會。

所以,經由締結姊妹校,可以讓台灣的學生與國外的學生接觸,讓彼此在學術、文化上有更緊密的交流,不再只是膚淺的想像,更進一步可以成為雙方課程合作的開端。

在過去,締結姊妹校的案例已經非常普遍,但都是落在大學端比較多,例如:台大的姊妹校就高達627個,所以可以看到大學生透過交朋友的方式,從日常生活就可以學習語言,同時提高學習動機。如今,不只是學習英文的年紀下探,高中端也開始進行姊妹校的締結,透過姊妹校互訪(Inbound、Outbound),讓學生在深度課程交流部分,藉由議題討論,可以培養出多元的視野,讓學生自然地具備跨國與多元文化理解的領導能力。

除了姊妹校,和加入班級的各國友人交流,也是培養「國際力」和體驗「世界性英語」(Global Englishes)的最佳時機。透過舉辦入班交流活動,把外籍生直接帶進班上,更能讓學生自在的互動、分享。

除了語言能力,規劃能力也是不可或缺,在接待過程中讓學生分組規劃文化體驗活動,讓外籍生們體驗台灣傳統的飲食文化、傳統節慶、觀光景點等,從前置作業,到規劃與接待,都讓學生的能力再次得到提昇。例如:2019年文華高中接待越南丁善理紀念中學、黎鴻峰資優高中,並與對方的資優生進行議題論壇。此次的交流不僅讓文華資優生在學術上更加成長,也讓學生們體會到「表達力」、「思辨力」在全球化中扮演的重要角色。

語言除了是溝通的工具外,更兼具文化性的角色。英語的學習在各校除了在課堂上扎扎實實落實外,學校也可以藉由國際交流,把學生帶向世界,或把世界帶進班級,在未來的職涯發展時,能自在地使用英文與來自世界各國不同文化背景的人合作。

【本文出自《能力雜誌》2019年10月號;訂能力電子雜誌;非經同意不得轉載、刊登】

 
  免費電子報 | 著作權聲明 | 隱私權聲明 | 聯絡我們

沒有留言:

張貼留言