全球環境快速變遷,數位轉型的腳步加劇,加速了製造業企業導入智慧製造,以應付生產模式的質變。根據資策會統計,台灣多數企業均已於實體製造環節中導入資通訊技術,以推動業務創新,僅有13%尚未導入智慧製造。然而,數位轉型同時,卻也引入了多維度的資訊安全風險。
在工業4.0時代,營運技術(OT)與資訊技術(IT)成為重要的驅動力。然而企業營運也因此具有互聯互通的特性,也使網路攻擊的影響更加廣泛、威脅更加難以檢測、調查與修復。駭客可以運用網路與物理環境相結合的力量,攻擊營運和生產設備,造成企業重大損失。
根據工研院統計,台灣200人以上的製造業企業所面臨的資安挑戰,前三大分別是內部技術能量不足、公司對於資安投資報酬率缺乏了解,以及內部員工缺乏資安意識。Fortinet「2022年度全球OT 與網路安全現況調查報告」也有相似的結論:我們發現全球組織在全面保護其OT資產方面仍然過於緩慢,受訪的OT組織中,有93%在過去一年中經歷駭客入侵,78%的組織更經歷了3次以上的入侵。
OT資安應得到製造業管理階層的更高關注,包含以下四大原因。首先,對OT的攻擊會顯著影響組織的生產力,進影響企業財務狀況。同一份調查發現,全球近50%受訪的組織曾因遭受攻而營運中斷,影響生產力。超過30%的受訪者表示,組織經歷OT資安事件後,曾造成營收損失、數據遺失以及對品牌聲譽的打擊。
第二,雖然OT安全性正在逐步提高,但許多組織中的工業設備仍然存在著安全漏洞。絕大多數組織使用多個不同的安全供應商來保護旗下100到1萬台的機台。這種複雜性會為使用多個、未整合OT安全工具的資安團隊,帶來巨大挑戰。
第三,多數組織未將OT活動的可視性整合,讓營運安全更顯脆弱。當組織無法即時同步監測所有OT活動,將容易產生資安死角,讓企業曝於更高的風險。Fortinet同一份調查發現,全球只有52%的組織有設立資安營運中心,來監測所有OT活動。
最後,許多企業沒有明確定義出OT營運安全的責任歸屬。許多企業並不是指派資安長做為其OT安全性的最高負責人。若沒有一個具備足夠資安技能的人員來保護企業的OT網路,營運風險也將大幅提高。
當發展智慧製造成為企業競爭力的關鍵要素,製造業管理階層和領導者、資安長更應該將保護企業OT網路,作為其資安策略中的首要任務。