隨著工業控制系統及關鍵基礎設施數位化轉型的加速，資安風險也日益增長，尤其對資產擁有者來說，如何有效降低場域資安風險已成為當前最迫切的挑戰。本議程將介紹 ISASecure ACSSA 國際驗證方案，並探討其如何結合 ISA/IEC 62443 系列標準，為工控場域提供全面的資安評估與驗證，協助資產擁有者識別並降低場域內的資安風險。

講者在 ISASecure ACSSA 國際驗證方案的設計過程中，積極參與方案的制定及實施策略的確立，此方案整合了 ISA/IEC 62443-2-1、62443-2-4、62443-3-2、62443-3-3等標準。這些標準的協同應用，為石油、電力、水務、樓宇自動化等不同行業提供了量身定制的資安防護措施。

議程將深入探討 ISASecure ACSSA 驗證方案內容，幫助企業和資產擁有者根據不同行業的具體需求，進行全面的資安風險評估，並強化其資安防護能力。透過這些方案的實施，企業將能有效應對當前的資安挑戰，保障關鍵基礎設施的安全與穩定運行。

Picture Archiving and Communication System (PACS) servers are crucial for managing patient imaging data in medical institutions. This presentation explores the essential functions of PACS servers and the structure of DICOM (Digital Imaging and Communications in Medicine) files, emphasizing the importance of unique identifiers.

We discuss the processing and transmission of DICOM files using various protocols and uncover significant privacy and security risks associated with exposed PACS servers and DICOM files on the internet.

Our research has identified multiple vulnerabilities in PACS servers, including use-after-free, stack-based buffer overflow, and path traversal, which could disrupt medical operations or result in the deletion of patient data.

The goal of this presentation is to raise security awareness and provide practical mitigation strategies for medical staff and server developers to protect sensitive medical data.

本次演講將深入探討如何根據 IEC 62443 標準選擇適合場域需求的安全等級，協助聽眾在資安防護與投資效益間取得最佳平衡。講者將結合多年的實務經驗，解析工業控制系統在應用 IEC 62443-3-3 標準時所面臨的挑戰，包括技術限制、組織文化與資源分配問題，並透過實際案例分享如何克服這些障礙。演講內容涵蓋風險評估方法、安全等級選擇策略，以及如何將標準要求有效落實於不同產業場域。

為了維持油/氣產業的高效營運，無應是產業鍊的上，中，下游，已漸漸導入各種自動化及遠近不一的通訊設備以便操作，控制或是監管整個場域。然而帶來便利的同時，也帶來了資安危機，無論是自動化的設備的漏洞，不安全通訊協定及設施，都會讓攻擊者有機可乘，然而油/氣產業容不得一點失誤，否則可能造成重大傷亡及財產損害。因此，石油及天然氣產業的資訊安全已逐漸被各個產油大國重視，而對於台灣來說，雖非產油大國，但產業鍊的安全跟國家的安危高度相關。本次演說，將帶您概覽油/氣產業的工業自動化帶來正面效益，衍生的資安問題及解決/緩解方法。

整合企業風險管理 (ERM) 與資通信技術 (ICT) 風險對於現代組織至關重要。隨著技術的快速發展和數位化轉型，ICT 風險已成為企業面臨的主要挑戰之一。NIST SP800-221 強調了在企業風險組合中納入 ICT 風險管理的必要性，並提供了詳細的指南來幫助組織有效地管理這些風險。通過將 ICT 風險與 ERM 框架相結合，組織可以更好地識別、分析和應對潛在風險，從而提升組織的韌性和戰略決策能力。這一整合不僅有助於保護資訊系統的安全和完整性，還能確保風險管理措施與企業的使命和業務目標保持一致。

智慧車輛發展迅速，資安問題日益重要。本次演講將剖析車載資安的內外部威脅，帶您瞭解潛在風險與因應對策。

內部資安方面，我們將探討 ECU 與 OTA 所面臨的挑戰；外部則聚焦於 V2X 技術的應用與安全風險。此外，演講將介紹車載資安標準，如 ISO 21434（內部）、IEEE 1609.2 與 ETSI TS 103 097（V2X）。

同時，我們將解析車載資安市場角色，包括車廠、網路供應商與測試實驗室的協作模式。最後，介紹安華（德凱集團）在資安滲透測試、 DSRC 與 C-V2X 驗證的技術優勢，以及20 23 年成功完成全台首件 1609.2 驗證測試的成果。

透過本次演講，讓您掌握車載資安趨勢，迎接智慧交通時代的機遇與挑戰！

歐盟的新法案，2014/53/EU，在無線電指令下的 Radio Equipment Directive 3.3 (d) (e) (f) , 啟動了Cyber Security 網路安全的法令法規強制性。

以一個正式的強制性法令法規，搭配了三本，多達六百頁的全新標準，對很多希望出口有無線功能 IoT 產品到歐盟的製造商而言。如何達到合規性，會是一個很頭痛的問題，如何從初期的產品與標準的應對選擇，一些標準內特定名詞定義的釐清，是否一定要申請歐盟的 EU type certification? 到如何可以確認自己的產品是否可以用 self-assessment 的方式達到合規的目的。

將會在本次講座中解答。

"針對軌道系統的攻擊增加了220%" 美國國家安全局 (NSA) 退役官員於去年八月指出鐵路威脅在區域戰爭中成為了引發戰火的導火線。隨著近年來火車劫持、鐵道癱瘓與切斷補給成為了全球新的國家安全隱憂，美國國家標準局 (NIST) 與運輸安全管理局 (TSA) 已於 2022 年十月聯合發布了更為嚴苛的鐵路安全標準以抵禦這類威脅，防護各式重大關鍵交通系統如捷運、鐵路與火車系統等…。然而儘管如此，由於鐵路與通訊式列車控制系統發展甚早，因此許多不安全的列車訊號系統已成為全球普遍導入，成為公眾交通與貨物運輸的主流選擇。

為完整探索此類威脅的全貌，這場議程我們對全球鐵路與公共交通所使用的六大系統 (例：CBTC、ATP、ATC 與 PZB) 進行統整與總結，對其底層軌道訊號控制系統進行探討。將從 CODE BLUE 2024 提出的一份關於 ATS (Automatic Train Stop) 研究開始，此經典系統在日本與歐洲被大規模導入，其訊號設計的目的是當列車遭遇緊急危險可以自動停止，無須人為介入；但攻擊者在有效理解後、加以濫用即可控制列車的行為，甚至北美鐵路所使用的現代化 ATC (Automatic Train Control) 也有相同風險。議程內容將包含制動裝置 (Brake)、訊號自動化制動、HOTT (Head of Train Telemetry) 和 EOTT (End of Train Telemetry)，深入相關通信設計，並以真實重放訊號攻擊來檢視其安全風險，並在議程尾聲提供防範建議，以此前瞻未來軌道資安系統的建置與規畫，守護軌道關建基礎設施。