MoneyDJ新聞 2021-04-01 13:35:01 記者 新聞中心 報導
在工業物聯網時代,全球企業面臨新一波數位轉型的迫切需要,當在IT部門把資源聚焦在資訊安全的投資觀念逐漸成熟的同時,運營科技(OT)領域的安全成為在工業物聯網時代下一個需要被考慮的風險與必須被克服的威脅。
資誠表示,企業在選擇OT資安管理框架要聚焦在如何評估IT與OT協作的整體效益。有鑑於此,資誠智能風險管理諮詢日前舉辦「OT資安全面啟動,建構工控場域資訊安全管理」研討會,邀請資誠智能風險管理諮詢的資安系統應用專家、風控專家以及SGS自動化科技專家,分享相關研究調查報告結果、OT資安管理的經驗、以及OT產線資訊安全與後勤資安作業流程上的協作應用。
資誠智能風險管理諮詢執行董事張晉瑞指出,根據《2021臺灣企業領袖調查報告》,臺灣CEOs對「網路威脅」感到非常擔憂的比例從去年的8%增加到今年的18%,網路安全議題已成為企業必須正視的挑戰,而近年來,網路安全產業與相關供應鏈所關注的焦點,一直是放在企業資訊系統與資訊科技(IT)的解決方案上,這些原先在傳統封閉網路處於安全邊界內的工業生產製造設備,因為產業轉型汰舊換新與數位轉型的需求而紛紛啟動連網功能,導致網路安全威脅目標的轉移,使得企業營運的風險情境驟增。
資誠指出,全球越來越多企業開始關注內部生產製造端的工業控制系統(ICS)或運營科技系統(OT)的網路安全風險,隨全球各產業向智慧聯網的數位化生產組織架構邁進,IT和OT系統之間的整合度與複雜度也與日俱增,對比於IT系統在資訊網路安全控制的實踐相對成熟,OT系統對於抵抗網路攻擊的韌性明顯不足,這意味著OT系統一旦因攻擊事件發生任何中斷,都可能對企業整體營運產生重大、不可預估且高風險的衝擊。
另外,近年來在台灣,由於OT應用環境遭受資安意外事件驟增,政府現在已經確定了八大國家關鍵資訊基礎設施,並制定了「關鍵資訊基礎設施資安防護建議」(CIIP),做為關鍵基礎設施領域層級與關鍵基礎設施提供者,於訂定各領域資安防護基準之參考,而民間各領域的重要產業及其供應鏈,亦建議可依循此防護建議,再根據各產業特性,調整為實務上適用之參考。
張晉瑞認為,在此防護建議中,看到不同的法遵目標族群,像是資產擁有者、系統整合者、產品提供者,彼此都必須進行各種國際安全管理制度導入、定期安全評估、並遵守相關產業發布的網路安全準則。全球各國政府與各產業領導者,在最近十年來驟增的OT資安意外事件的學習中,如今已經認識到對OT系統進行強大防禦的必要性,並藉由各種OT網路安全國際規範為基礎,啟動了OT網路安全總體規劃,以鞏固和指導各公民營單位OT網路安全計劃的制定。
張晉瑞建議,保護OT網路免受網路威脅的第一步是了解企業OT營運流程,進而識別出所處產業可能遭遇到的特定OT風險。在識別出各種風險情境後,才能進而識別出安全漏洞可能發生的位置。他舉例,當企業在建構一個特定的生產製造流程時,當允許每個生產製造端的工業設備或機台連接到網路之前,就必須採用盤點、識別、分析和評估等標準作業程序,來檢視每個設備或機台的運行狀況是否安全,並在適當的情況下,實施OT電腦系統資訊安全評估與ICS工業控制系統資訊安全管理制度(CSMS),以此實現對OT現場環境技術面與管理面的最佳實踐。
