沒有最安全 只有更安全

1. Leading Brand in Cybersecurity Compliance Solutions
www.onwardsecurity.com
工控資安之
沒有最安全，只有更安全
安華聯網 研發長
Jasper Liu

2. © 2020 Onward Security Corp. All rights reserved. 1© 2020 Onward Security Corp. All rights reserved.
Jul 2020
知名GPS大廠疑遭勒索軟體攻擊，產線預計將停擺兩天，
手機App更新無法同步
穿戴裝置大廠
Jun 2020
臺灣電子產業又傳資安事件，PCB大廠欣興公告部分系統
遭病毒感染
PCB 大廠
Jun 2020
臺灣高科技產業再傳攻擊事件，自動化設備廠盟立公告
遭勒索軟體攻擊
自動化設備廠
May 2020
半導體封測廠力成湖口廠區遭勒索軟體攻擊，公司對外
網站尚未復原
半導體封測廠
May 2020
知名石化能源公司資料庫和部分電腦主機遭勒索軟體感
染，斷網防受駭範圍擴大，暫通報為三級資安事件石化公司
1

3. © 2020 Onward Security Corp. All rights reserved. 2
68%德國製造商曾遭受攻擊，47%的損
失源自網路攻擊行動
Bitkom, Cyber attacks are ofter directed against SMEs, 2018
科技業成為頭號攻擊目標，佔總攻擊
數的25%，去年為17%
NTT Security Report (2018/10/1~2019/9/31), 2020
2© 2020 Onward Security Corp. All rights reserved.

4. © 2020 Onward Security Corp. All rights reserved. 3
資安法規要求
• 移動互聯網應用程序信
息服務管理規定
• 移動智能終端安全能力
技術要求
• 網路安全法
• 密碼法
• 網路安全基本法(Basic
Act on Cybersecurity)
• 《電氣通信事業法》修
正(2019)
• NOTICE
• 資訊通訊管理法
• 情報通信基礎保護法
• General Data Protection
Regulation (GDPR)
• Cyber Security Act(2019)
• A European strategy for
data(2020)
• CESG Certified
Professional Scheme
• The Network and
Information Systems
Regulations
• IoT Cybersecurity
Improvement Act
• DHS Industrial Control
Systems Capabilities
Enhancement Act
• California Consumer
Privacy Act, CCPA

5. © 2020 Onward Security Corp. All rights reserved. 4
8000萬以下
14%
8000萬以上~10億
86%
智慧機械統計研究分析
一、 企業網路層之安全要求
二、 監控與管理層資訊安全要求
三、 控制層資訊安全要求
四、 實體層資訊安全要求
五、 備份機制要求
六、 加解密認證安全建議
資本額
員
工
人
數
1
2
3
4
3
1
0 1 2 3 4 5
50以下
50~99
100~149
150~199
200~499
500以上
• 為申請經濟部工業局之「智慧機械-產業聚落供應
鏈數位串流暨AI應用」補助計畫，提案廠商需滿
足「附件十、資訊安全要求」項目內容。
• 依據附件十之內容，將項目劃分為“技術面”與
“管理面”，並分析提案廠商之訪談數據，歸納
與分析現行提案廠商符合狀態與需強化之項目。

6. © 2020 Onward Security Corp. All rights reserved. 5
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
符合 不適用 不符合
管理面滿足情況統計(17項)

7. © 2020 Onward Security Corp. All rights reserved. 6
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
符合 不適用 不符合
技術面滿足情況統計(12項)

8. © 2020 Onward Security Corp. All rights reserved. 7
研究發現與結論
• 技術方案優先
• 廠商面對資訊安全，多數皆優先考慮透過設備進行安全防護，缺少管理面的資安意識，不符合
項目中，管理面佔66%。
• 現有方案未經過驗證
• 廠商皆無定期執行弱點掃描與滲透測試的制度。
• 多數廠商依賴防火牆來抵禦外部入侵，缺乏健全的網路安全防護機制。缺少網段風險區隔、流
量監控等主動防禦機制。
• 缺乏持續改善的機制
• 大部分廠商具有備份機制，但缺乏備援機制與還原演練。
• 多數廠商沒有定期執行資安教育訓練與營運持續演練。
• 委外廠商的信任風險
• 製造業與傳統產業對於委外廠商皆採用信任的合作方式，缺少委外監督管理的機制。

9. © 2020 Onward Security Corp. All rights reserved. 8
製造業資安產業法規與方法
General-purpose control systems CIP(Power systems) Automotive IoT
Security
Organizations
Systems
Devices
International standard Industry standard
Cybersecurity Framework 1.1 CIS Controls V7.1
ISASecure certification (SSA)
ISASecure
certification (EDSA)
NERC
CIP
IEEE
1686Achilles
certification
ISO 27019
(energy industry)
ISO 27001 ISMS
CTIA
ISO 27030
TAICS
ISO/SAE DIS
21434
Cybersecurity
engineering
ISASecure certification (SDLA) IATF16949
IEC
62443
IEC 62351

10. © 2020 Onward Security Corp. All rights reserved. 9
Keeping Smart Manufacturing Protected
Onward Security Solutions
現況評估
如果您想盤點公
司目前的資安成
熟度。
Phase1
制度建立
如果您想透過管
理來實踐資安防
護。
Phase2
資安驗證
如果您已規劃部
署資安防護，需
要第三方的安全
性驗證。
Phase3
永續資安
如果您已有制度，
需要第三方協助完
善資安機制。
Phase4

11. © 2020 Onward Security Corp. All rights reserved. 10
Onward Security (安華聯網科技)
物聯網資安方案提供者
台灣第一間嵌入式設備安全檢
測實驗室
台灣唯一一間亞馬遜授權的資
安檢測實驗室
亞洲第一個美國CTIA授權的資
安實驗室
協助多家製造商建立工控資安
流程與取得國際證書
企業資安
服務
產品資安
服務
資安合規
服務
資安產品

12. Leading Brand in Cybersecurity Compliance Solutions
“Security is a Key
Enabler for Industry 4.0!”
Frank Lubnau, CDO Industry of BOSCH
THANK Y U