其禾電梯控制系統、系列產品資訊安全認證過程
CH-256控制系統及系列產品資訊安全認證過程
壹、《緣起》
民國111年(2022)年8月2日至8月3日,第52任美國眾議院議長南希·佩洛西率團訪問臺灣,發生了中國駭客侵入台灣公部門及民間商業機構的資安危機事件,媒體上一篇電梯與國家社論,將電梯資訊安全問題 將影響國家安全的議題提出討論,造成台灣政府及人民的一陣恐慌,進而提升政府機關對電梯資安相關議題之重視。
貳、《行政單位之處置》
行政院蘇前院長立刻指示營建署研擬處理議題的應對方案,並偕同經濟部標準檢驗局召集電梯同業召開多次討論,後交付三家認可授權的電子資安相關認證單位,由他們執行北北桃地區公有建物升降設備控制器之資訊安全盤查及提出相關應對措施。
參、《本公司的應對》
其禾電梯自民國104年開始發展電梯遠端通報系統並將資訊安全議題納入整體設計規畫。因此當行政院提出全面提升電梯資訊安全之政策時,本公司相當振奮,並積極參與多次由營建署與經濟部標準檢驗局所召開之電梯資安相關會議。從研討會議中得知相關議題內容,並收到標準檢驗局訂定的升降機控制板及其相關介面之網路安全要求與(電梯)資安檢測技術規範。該技術規範所規定的資訊安全要求,其目的在於確認電梯控制板具有基礎資訊安全防護能力,包含:(1)實體安全、(2)系統安全、(3)軟/韌體更新、(4)通訊安全、(5)身分鑑別與授權機制安全,以確保電梯控制板之資訊安全。 公司內部就相關議題進行一連串討論,釐清標準檢驗局的認證條件與本公司的資安對應能力,經過各部門檢討後一致認為,縱使要求門檻相對較高,也應申請對資安防護較為確實的二級檢測標準(目前最高標準)。
肆、《執行過程》
(1)協助 本公司立即準備產品檢測相關資料,並開始積極尋找適合的認證機構。過程中,感謝中華民國建築物昇降暨機械停車設備協會適時的提供本公司相關資訊及協助。
(2)選項 111年10月14日,"經濟部標準檢驗局"頒布《建築物昇降設備(電梯)資安檢測技術規範》中指定的電梯資安檢測實驗室總共有三家,本公司與財團法人電信技術中心(TTC)的資安檢測實驗室進行接洽並由該實驗室團隊的輔導協助進行電梯資安檢測工作。
(3)接洽與討論 於112年1月18日雙方相約於本公司員林工廠,本公司提供初步資料開啟了第一次討論,互相討論以及意見交流,並得到相關程度的共識。
(4)資料準備 檢測前,本公司再次修正資料、eKeeper軟體及CH-256EN、CH-256APS韌體修正測試。 於112年2月21日第一次Google meets 的線上會議,進行約 1個小時的討論,不足之處再透過LINE軟體討論交流,得出更清楚的細節,立即回應並準備所需受測資料。
(5)受檢硬體設備交付 於112年3月2日將CH-256EN + EKEEPER機板送達電信技術中心(TTC)。
(6)第一次測試 112年3月24日TTC中心派資安檢測工程師到員林工廠,進行第一次eKeeper軟體及CH-256EN、CH-256APS韌體檢測,對產品進行弱點掃描、軟/韌體靜態源碼分析及電梯控制板之軟/韌體版本更新服務。並針對有疑義之處本公司作立即相應的修改軟體及韌體。大致完成基本的測試工作,進展相當順利,實令本公司參與人員相當的鼓舞。 (7)第二次測試 於112年3月29日來雙方約定於台中高鐵站區會面,進行第二次韌體檢測工作,經過微幅修改調整,雙方均得到滿意的結果。 (8)結果 於112年4月7日完成::1. 自檢表 2. 主型式與系列型式差異對照表 3. 靜態源碼風險管控聲明資料用印等資料之交付。
結論
令我們相當振奮的是,通過這次的研究改進過程,本公司的電梯控制板及相關通訊模組產品,加強了防止人員存取未經授權之資料或進行權限外之操作,對電梯控制板建立識別、鑑別與授權機制,可有效避免駭客入侵。此外,我們公司可能會是台灣第一家通過 VPC 授權認證的電梯公司,這是給予我們公司同仁努力的最大的鼓勵。最後,藉由政府認證我們的產品更落實其禾電梯一直以來的營運目標:提升乘客乘坐電梯安全,守護每一趟旅程。
壹、《緣起》
民國111年(2022)年8月2日至8月3日,第52任美國眾議院議長南希·佩洛西率團訪問臺灣,發生了中國駭客侵入台灣公部門及民間商業機構的資安危機事件,媒體上一篇電梯與國家社論,將電梯資訊安全問題 將影響國家安全的議題提出討論,造成台灣政府及人民的一陣恐慌,進而提升政府機關對電梯資安相關議題之重視。
貳、《行政單位之處置》
行政院蘇前院長立刻指示營建署研擬處理議題的應對方案,並偕同經濟部標準檢驗局召集電梯同業召開多次討論,後交付三家認可授權的電子資安相關認證單位,由他們執行北北桃地區公有建物升降設備控制器之資訊安全盤查及提出相關應對措施。
參、《本公司的應對》
其禾電梯自民國104年開始發展電梯遠端通報系統並將資訊安全議題納入整體設計規畫。因此當行政院提出全面提升電梯資訊安全之政策時,本公司相當振奮,並積極參與多次由營建署與經濟部標準檢驗局所召開之電梯資安相關會議。從研討會議中得知相關議題內容,並收到標準檢驗局訂定的升降機控制板及其相關介面之網路安全要求與(電梯)資安檢測技術規範。該技術規範所規定的資訊安全要求,其目的在於確認電梯控制板具有基礎資訊安全防護能力,包含:(1)實體安全、(2)系統安全、(3)軟/韌體更新、(4)通訊安全、(5)身分鑑別與授權機制安全,以確保電梯控制板之資訊安全。 公司內部就相關議題進行一連串討論,釐清標準檢驗局的認證條件與本公司的資安對應能力,經過各部門檢討後一致認為,縱使要求門檻相對較高,也應申請對資安防護較為確實的二級檢測標準(目前最高標準)。
肆、《執行過程》
(1)協助 本公司立即準備產品檢測相關資料,並開始積極尋找適合的認證機構。過程中,感謝中華民國建築物昇降暨機械停車設備協會適時的提供本公司相關資訊及協助。
(2)選項 111年10月14日,"經濟部標準檢驗局"頒布《建築物昇降設備(電梯)資安檢測技術規範》中指定的電梯資安檢測實驗室總共有三家,本公司與財團法人電信技術中心(TTC)的資安檢測實驗室進行接洽並由該實驗室團隊的輔導協助進行電梯資安檢測工作。
(3)接洽與討論 於112年1月18日雙方相約於本公司員林工廠,本公司提供初步資料開啟了第一次討論,互相討論以及意見交流,並得到相關程度的共識。
(4)資料準備 檢測前,本公司再次修正資料、eKeeper軟體及CH-256EN、CH-256APS韌體修正測試。 於112年2月21日第一次Google meets 的線上會議,進行約 1個小時的討論,不足之處再透過LINE軟體討論交流,得出更清楚的細節,立即回應並準備所需受測資料。
(5)受檢硬體設備交付 於112年3月2日將CH-256EN + EKEEPER機板送達電信技術中心(TTC)。
(6)第一次測試 112年3月24日TTC中心派資安檢測工程師到員林工廠,進行第一次eKeeper軟體及CH-256EN、CH-256APS韌體檢測,對產品進行弱點掃描、軟/韌體靜態源碼分析及電梯控制板之軟/韌體版本更新服務。並針對有疑義之處本公司作立即相應的修改軟體及韌體。大致完成基本的測試工作,進展相當順利,實令本公司參與人員相當的鼓舞。 (7)第二次測試 於112年3月29日來雙方約定於台中高鐵站區會面,進行第二次韌體檢測工作,經過微幅修改調整,雙方均得到滿意的結果。 (8)結果 於112年4月7日完成::1. 自檢表 2. 主型式與系列型式差異對照表 3. 靜態源碼風險管控聲明資料用印等資料之交付。
結論
令我們相當振奮的是,通過這次的研究改進過程,本公司的電梯控制板及相關通訊模組產品,加強了防止人員存取未經授權之資料或進行權限外之操作,對電梯控制板建立識別、鑑別與授權機制,可有效避免駭客入侵。此外,我們公司可能會是台灣第一家通過 VPC 授權認證的電梯公司,這是給予我們公司同仁努力的最大的鼓勵。最後,藉由政府認證我們的產品更落實其禾電梯一直以來的營運目標:提升乘客乘坐電梯安全,守護每一趟旅程。