在龐大的資料走向聯網時代的同時,聯網設備快速的成長以及分散化,增加了企業對於資料安全性掌握的無力感。其中,又以OT(營運技術)端安全更為迫切,以近幾年的網路攻擊事件來看,OT的安全防護已變成企業必須正視的問題。
隨著人工智慧(AI)、智慧工廠的推波助瀾,越來越多的設備開始串連至網路平台,萬物聯網已經成為無可避免的趨勢。然而,此趨勢同時也意味著資料流竄的複雜性和潛在的高風險。此外,邊緣運算的技術催化以及5G發展的鳴槍,顯示出基地台、資料中心的逐漸分散化。在龐大的資料走向聯網時代的同時,聯網設備快速的成長以及分散化,增加了企業對於資料安全性掌握的無力感。其中,又以OT(營運技術)端安全更為迫切,以近幾年的網路攻擊事件來看,OT的安全防護已變成企業必須正視的問題。對此,建議企業應該從以下兩大面向著手,以提升資安防護力。
首先,企業須全面強化OT端的安全意識。企業內部由上至下皆須意識到資安的防護不該僅是在IT(資訊技術)端,而應延伸至OT端。近年來,企業開始提高對資料防護的意識,其中,以IT端的安全發展較為完善,因其可隨著軟體的更新時時做升級,有效降低駭客對於核心資料的威脅。相較之下,OT端的資安意識及防護機制仍略顯不足。主要原因有二:第一,OT端設備若停機便會帶來產能驟降的隱憂,因此無法隨時根據資安漏洞做系統升級。第二,製造業較缺乏資安防護經驗,大多不知為何或如何導入,使得OT端容易成為駭客下手的目標。
因此,強化OT人員的資安控管觀念將成為製造業資安維護的關鍵。與此同時,政府也意識到OT端防護的重要性,例如,資策會近幾年開始大力推廣工控資安等相關課程,以協助更多企業的OT人員了解資安的管理及標準。除此之外,企業在採購任何設備時,也需將資安防護納入考量,建立起第一道防護線。
其次是OT資安標準生態圈完善化。面對市場上不同的機器設備以及各個製造商所建立的不同標準,企業面臨的挑戰之一是如何選擇最能有效防範資安威脅的產品。而設備供應鏈的首要任務,即為建立國際OT端的資安生態圈,以國際的資安標準作為圭臬,其中包括UL2900-2-2以及IEC 62443等,讓所有產品能在設計之初,將受過認證的保護標準灌注其中,建立基礎的防護機制,成為CyberSecurity的一環,以防止硬體設備成為破口。否則,駭客若能從任何一台設備中找到漏洞,小則機台癱瘓,產線停擺,大則藉由單一機台一步步竊取到聯網的核心資料,造成不可回復性的損失。
在萬物聯網的浪潮下,面對駭客日新月異的入侵手法,如何建立360度滴水不漏的保護機制,成為企業在資安防禦的首要目標。因此,不只是IT端的資安需要時時刻刻的更新,OT端防護近年來更成為企業不容忽視的一大關注議題,而除了加強OT人員的資安認知外,設備導入資安標準的成熟性,更是其安全防護的決定關鍵。
<本文作者:宮鴻華現為伊頓台灣區總經理>