建構技術人員可發揮專長環境

郭彥徵說明，工業現場有許多設備並非Windows作業系統，例如可程式控制器(PLC)、人機介面(HMI)、感測器等，搭載的韌體由技術供應商專有開發，難以透過通用工具完整掌控，勢必成為盲點。此外，IT資安人員傾向在內部網路部署防火牆等防護設備，來最大化抵禦惡意程式攻擊。問題是OT現場的工程師更關注的焦點是產線穩定順暢地運行，不希望工作流程中增添的安全措施影響到現場工作效率。

如今工控場域大多參考普渡模型實作IT與OT融合，才得以釐清弱點環節、運用安全技術來防護。實務上，欲導入工控資安防護機制，必須同時懂得工廠作業流程與資安技術，但多數企業不具備同時擁有兩種技能的人才，使得工控場域安全性難以有效地防護。

黃彥凱建議，著手規畫防護措施之前須先釐清設備種類，或是拆解控制系統的組成元件與通訊方式來進行風險評估，例如純水控制系統，大多包含PLC、馬達、變頻器等組件，採用的是Modbus、Profibus等通訊協定，盡可能讓物理環境與邏輯框架保持一致，才不至於影響OT場域工程師既有的工作程序。

郭彥徵則認為可引進國際資安標準準則，以工控領域來說，最受關注的當屬IEC 62443，為針對OT現場制定的通用準則，再參考垂直領域相關規範，例如電力、廢水、鐵道等，建構適用於自家工業現場的資安管理辦法，如此一來，可讓擁有不同領域知識的技術人員發揮所長。他進一步說明，IT人員學習新興資訊科技的速度較快，擁有資料處理、資安防護的相關知識，但是OT現場工程師熟悉自家產業的製程，只是較缺乏資安風險認知。引進國際通用的資安規範，讓OT場域制定資安管理辦法時有準則可參考，不僅更具說服力，亦可確保適用性。

必維國際檢驗集團(Bureau Veritas)新事業發展處技術經理李培寧指出，當前供應鏈潛在的安全疑慮，核心因素來自韌體大多採用開源套件開發，再加上未在產品研發設計初期納入安全性考量，使得原生漏洞過多導致最終用戶受駭，IEC 62443-4-1認證檢驗即是用於確保安全產品開發流程。其次是IEC 62443-2-4標準規範用意在於建立工控系統資安計畫，以免產線停擺。

李培寧提醒，以IEC 62443打造國際認可的工控資安防線，首要步驟為風險評估，才可能引進正確的控制措施。例如已遭受勒索軟體滲透的企業，必須先調查釐清入侵管道，再施以防護機制才可發揮效益，藉由持續不斷地改善資安體質，以建構抵禦外部威脅的韌性。