ISA/IEC 62443 Cybersecurity Fundamentals Specialist

證照心得分享

近兩年 ISA/IEC 62443 詢問度很高，特別是在 2018 和 2019 年 ”Part 4–1: Secure product development lifecycle requirements“ 和 ”Part 4–2 Technical security requirements for IACS components“ 相繼成為國際標準後，ISA/IEC 62443 成為潛在國際市場門票，以及企業產品或服務的加分項目。

作為相對「務實」的國際標準，提供工業自動化控制系統（Industrial Automation and Control Systems，IACS）的產品供應商 (Product Supplier) 在「產品安全開發生命週期」以及其對應的「安全需求」一個完整的管理、需求、設計、實作、測試與維護．

不僅如此，也在既有的 ISO 27001 Information Security Management System (ISMS) 下加入 OT 的元素，提供 Cyber Security Management System （CSMS) 的建構與維持指引，作為資產擁有者 (Asset Owner) 與服務提供者 (Service Provider) 訂定持續性的管理流程．

近期台灣幾個國際大廠也相繼取得 IECEE 62443–4–1 的產品驗證證書，諸如家用網通設備製造商-友訊科技、工業控制領域設備製造商-MOXA 、台達電子（Delta）以及嵌入式平台製造商-研華科技．陸續通過標準的驗證．除了提升產品本身的安全強健性外，更提升產品在國際市場上的競爭力．

一般標準（或規範）因為適用標的而有對應的侷限性，諸如 NIST FIPS 140–2/140–3針對密鑰模組、ISO 27001 著眼於資訊安全管理系統。限定的目標帶來聚焦的好處，但缺點也反應在資安導入階段，因為相關利害關係人沒有參與（或部份參與），往往有見樹不見林之感．

ISA/IEC 62443 系列標準係針對 IACS 內三個主要角色： Asset owner、System integrator 與 product supplier ，就各自面對的威脅訂定對應的安全規範．且為了避免落入「一個系統，各自為政」，各層級的標準彼此皆有層度上的相依性，甚至遵循相同的安全政策 (security program) 建構與維護流程．

source: https://www.isasecure.org/en-US/Articles/Industrial-automation-cybersecurity-conformity-ass

ISA/IEC 62443 Cybersecurity Fundamentals Specialist 證照則扮演「標準推廣的角色」，引導參與的學員在相對的高度上理解 IACS 內不同角色間面對的安全威脅以及對應的安全需求，甚至藉由過往的經驗明確告訴你哪些 “common pitfalls” 前人已經踩過了又踩，不要再犯相同的過錯．

ISA/IEC 62443 的證書，可分為「系統/產品」與「個人」兩種不同類型。

• 系統/產品證書
  1. ISCS scheme
  由 ISA 所屬的 ISA Security Compliance Institute (ISCI) 提供系統/產品的標準驗證，通過認證後除了可以取得證書外，也同步公告在 ISA Secure 的官網．除了工業控制領域的指標性大廠大多已經獲得標準驗證之外，財團法人全國認證基金會（TAF）也已於 2021 年與 ISCI 合作，目前已經進入公開徵詢階段，預計今（2021）年台灣有機會加入 ISCI scheme 讓國內通過認證的證書，在國際上也能夠獲得承認．
  2. IECEE scheme
  由 IECEE 簽署的證書，其參考的標準和 ISA 制定的標準內容上基本上相同。差異在於執行評估的單位為 IECEE 認可的 CB ，相較 ISCI scheme 主要以指標性大廠為主，申請 IECEE scheme 現階段似乎比較受到市場的青睞．
• 個人證書
  ISA Secure Certificate Program 涵蓋了基礎、風險分析、安全分析與安全維護四個領域．除了基礎的 Cybersecurity Fundamentals Specialist 作為基礎，必須是四個證書的第一個證書外，其他三個證書沒有相依關係．在取得四個證書後，可以直接獲得 Cybersecurity Expert 證書．作為標準推廣的角色，必須完成課程後才能拿到代碼排定考試的時間。

image source: https://www.isa.org/training-and-certification/isa-certification/certificate-programs

如果只能用一句話，我會這麼形容 ISA/IEC 62443 Cybersecurity Fundamentals Specialist

One mile wide and one inch deep

作為其他三個證書的先修，課程提供了橫跨 ISA 62443 四個階段所需要的內容，:

Module 1: Using the ISA/IEC 62443 Standards to Secure Your Control Systems
Module 2: Terminology, Concepts, Models and Metrics
Module 3: Threats and Vulnerabilities
Module 4: Industrial Networking Basics L1-L3
Module 5: Network Security Basics 101
Module 6: Industrial Protocols
Module 7: Establishing an Industrial Automation and Control Systems Security Program
Module 8: Security Risk Assessment and System Design
Module 9: Intro to the IACS Cybersecurity Lifecycle
Module 10: Security Program Requirements for IACS Service Providers
Module 11: Developing Secure Products and Systems
Module 12: Evolving Security Standards and Practices

以上內容可以分為 「網路基本概念」、「工業控制通訊規約」以及「資訊安全概念」三種類型．在準備上，因為過去在滲透測試工具的開發經驗，「網路基本概念」和「工業控制通訊規約」投入的準備時間比較少，反倒是「資訊安全概念」以 CSMS 為中心提供了大量的資訊，課程的補充資訊也相當豐富，值得多投資一些時間準備．

ISA/IEC 62443 Cybersecurity Fundamentals Specialist 線上課程總時數大約20小時左右，加上閱讀補充資料，整體準備時間大約三個禮拜左右．考試採單選題命題，考題可分為「名詞解釋」、「情境題」以及「標準延伸題」三種題型，考試的準備不需要特別背誦與記憶，反倒是考試內容很靈活，除了理解外更要思索標準背後制定的原因，才能在情境題上取得分數．此外，有部分的題目不在課程教材內，但如果有理解教材的內容，應該都能夠推出正確的答案．

目前台灣唯一的考場在台灣大學 LTTC 國際語言訓練中心，台大校園蠻大的，務必帶著護照提早報到．考題基本上不太需要太多複雜的思索，大約一個小時多就可以作答完畢．

考試當晚在 Prometric 官網可以查詢考試結果，大約一周時間就會收到 ISA Secure 的通過證書的 e-mail．

這張證照準備內容不會教你「如何駭進 OT 系統」也不會告訴你「如何讓系統/產品符合標準」，但提供一個很完整的「鳥瞰圖」幫助你看清楚 OT 系統是如何透過程序、系統與產品 (component) 結合利害關係人，做好縱深防禦 (Defense in Depth)的準備，如果你是：

1. IACS 系統
   - 流程管理人員
   - 營運人員
   - 安全管理人員
2. IT 系統
   - MIS
   - 資安人員
3. 其他後勤支援系統
   - 法務
   - 人資
   - FAE
   - 運輸人員
   - 製造商
   - 第三方合約者

相信在準備證照的過程中，你會更了解在整個 IACS 中其他角色的職責以及自身角色的定位，不到一個月的準備時間可以有這樣的收穫，很划算的投資．

最後，預祝收穫滿滿，考試順利．