物聯網時代擔憂工控安全? 資誠:強化運營科技安全

在工業物聯網時代,全球企業面臨新一波數位轉型的迫切需要,當在IT部門把資源聚焦在資訊安全的投資觀念逐漸成熟的同時,運營科技 (Operation Technology, OT) 領域的安全成為在工業物聯網時代下一個需要被考慮的風險與必須被克服的威脅。

企業在選擇OT資安管理框架要聚焦在如何評估IT與OT協作的整體效益,如何將OT資安管理流程放入既有資安風險管理框架,進而整合至公司其他流程最佳化措施? 以上這些重要的問題,是在建置OT資安管理流程需面臨的重大課題。有鑑於此,資誠智能風險管理諮詢公司日前舉辦「OT資安全面啟動,建構工控場域資訊安全管理」研討會,邀請資誠智能風險管理諮詢公司的資安系統應用專家、風控專家以及SGS自動化科技專家,分享相關研究調查報告結果、OT資安管理的經驗、以及OT產線資訊安全與後勤資安作業流程上的協作應用。

調查顯示CEO擔憂網路威脅從8%躍升18%

資誠智能風險管理諮詢公司執行董事張晉瑞指出,根據《2021 臺灣企業領袖調查報告》,臺灣CEOs對「網路威脅」感到非常擔憂的比例從去年的8%增加到今年的18%,網路安全議題已成為企業必須正視的挑戰。近年來,網路安全產業與相關供應鏈所關注的焦點,一直是放在企業資訊系統與資訊科技 (Information Technology,IT) 的解決方案上。這些原先在傳統封閉網路處於安全邊界內 (security perimeter) 的工業生產製造設備,因為產業轉型汰舊換新 (refurbishment) 與數位轉型的需求而紛紛啟動連網功能,導致網路安全威脅目標的轉移,使得企業營運的風險情境驟增。

全球越來越多企業開始關注內部生產製造端的工業控制系統 (Industrial Control System,ICS) 或運營科技系統 (Operational Technology,OT)的網路安全風險。隨著全球各產業向智慧聯網的數位化生產組織架構邁進,IT和 OT系統之間的整合度與複雜度也與日俱增,對比於 IT系統在資訊網路安全控制的實踐相對成熟,OT系統對於抵抗網路攻擊的韌性 (cyber resilience) 明顯不足,這意味著 OT系統一旦因攻擊事件發生任何中斷,都可能對企業整體營運產生重大、不可預估且高風險的衝擊。

近年來在台灣,由於 OT應用環境遭受資安意外事件驟增,政府現在已經確定了八大國家關鍵資訊基礎設施,並制定了「關鍵資訊基礎設施資安防護建議」 (Critical Information Infrastructure Protection, CIIP),做為關鍵基礎設施領域層級與關鍵基礎設施提供者,於訂定各領域資安防護基準之參考。而民間各領域的重要產業及其供應鏈,亦建議可依循此防護建議,再根據各產業特性,調整為實務上適用之參考。

啟動OT網路安全 減低資安風險

張晉瑞認為,在此防護建議中,看到不同的法遵目標族群,像是資產擁有者 (Asset Owner)、系統整合者 (System Integrator)、產品提供者 (Product Vender),彼此都必須進行各種國際安全管理制度導入、定期安全評估、並遵守相關產業發布的網路安全準則。全球各國政府與各產業領導者,在最近十年來驟增的 OT資安意外事件的學習中,如今已經認識到對 OT系統進行強大防禦的必要性,並藉由各種 OT網路安全國際規範為基礎,啟動了 OT網路安全總體規劃,以鞏固和指導各公民營單位 OT網路安全計劃的制定。

張晉瑞建議,保護 OT網路免受網路威脅的第一步是了解企業 OT營運流程,進而識別出所處產業可能遭遇到的特定 OT風險。在識別出各種風險情境後,才能進而識別出安全漏洞可能發生的位置。他舉例,當企業在建構一個特定的生產製造流程時,當允許每個生產製造端的工業設備或機台連接到網路之前,就必須採用盤點、識別、分析和評估等標準作業程序,來檢視每個設備或機台的運行狀況是否安全,並在適當的情況下,實施 OT電腦系統資訊安全評估與 ICS工業控制系統資訊安全管理制度 (Cyber Security Management System,CSMS),以此實現對 OT現場環境技術面與管理面的最佳實踐。