隨著營運技術(OT)環境逐步數位化,全球企業對OT資安的關注已從基層防護上升至策略治理層級。根據Fortinet最新發布的《2025年OT與網路資安現況調查報告》,全球企業正在以前所未有的速度推進OT資安成熟度,不僅將資安責任轉移至資安長(CISO)職責範疇,更積極採用整合型平台架構,以提升可視性、簡化管理、並因應日益嚴峻的資安與法規挑戰。
Fortinet本次調查涵蓋全球超過550位橫跨製造、能源、交通運輸等關鍵基礎設施產業的OT決策者,結果顯示已有52%的企業由CISO或CSO直接負責OT資安事務,遠高於2022年的16%。這項轉變不僅反映OT資安正從技術層面走向治理優先,更意味著企業已將OT納入整體資安策略核心。值得注意的是,有高達95%的企業表示目前已將OT資安納入高層職責範疇,並有八成企業計畫於未來一年內,將OT資安正式劃歸CISO治理。
Fortinet台灣區總經理吳章銘指出,台灣作為半導體與AI產業重鎮,企業應更積極建構安全營運機制,以因應供應鏈要求與國際法規演進。他強調:「OT資安不僅是防禦問題,更關乎營運穩定與產業競爭力。從董事會到第一線工程師,每個角色都應具備資安意識與保護能力。」
報告亦揭示,企業資安成熟度正在穩步提升。在資安流程面,有49%的組織已達到第四級成熟度,代表其能根據現有流程持續優化,並整合威脅情資與事件管理機制。而在解決方案成熟度方面,企業逐步從基礎可視性與區隔(第1級)邁向使用者行為分析與存取控管(第2級),顯示在概念驗證與投資評估後,OT安全解決方案正在逐步部署擴展。
成熟度提升所帶來的直接效益,也反映於入侵事件的顯著下降。2025年報告指出,曾遭遇三次以上入侵事件的企業比例已降至18%,而未發生任何入侵的企業占比,從2022年的6%大幅提升至52%。其中,成熟度達第四級的企業中,高達65%在過去一年未遭受任何入侵,相較之下,僅有46%的低成熟度企業能避免攻擊。
不過,風險仍未完全解除。儘管攻擊頻率下降,網路釣魚、勒索軟體與進階持續性威脅(APT)仍是主流入侵手法,且駭客行為逐漸導入AI技術進行自動化針對性攻擊。FortiGuard實驗室指出,2024年針對製造業的攻擊事件占比高達17%,為所有產業之最,顯示營運系統的高度連網化,正成為威脅者鎖定的變現管道。
在面對資安壓力之外,合規挑戰也逐漸浮現。報告指出,66%的企業預期未來五年內將面臨更多資安法規與審查要求,其中有26%的企業認為新規定將在一年內出現。這代表OT資安治理已不再是選擇題,而是必須納入長期營運計畫的一環。
為協助企業提升整體OT資安韌性,Fortinet建議導入五大實踐策略。首先是部署網路分段(Network Segmentation),藉由建立區域與策略控制,提升資產可視性與管理能力,亦符合ISA/IEC 62443等工控資安標準。其次是強化OT設備的可視性與補償性控管,透過協定感知、系統交互分析與端點監控技術,保護舊型或無法修補的設備。
第三項策略為導入專屬的OT威脅情報與資安服務,特別是具備AI分析與OT協定支援的IPS與SOC能力,有助於即時偵測並封鎖異常流量。第四,企業應將OT正式納入資安維運中心(SecOps)與事件回應規畫,制定涵蓋OT環境的劇本與自動化回應機制,讓IT、OT與資安團隊能協同應對風險。最後,採用平台化安全架構已成明確趨勢,能協助企業整合供應商、簡化維運並集中管理,成為企業提升資安效率與應變能力的基礎。
事實上,在成熟度高的組織中,已可見整合架構的實際效益。Fortinet指出,其客戶在導入統一平台後,資安事件減少93%,應變速度提升七倍,並有效減少人力負擔。2025年已有78%的企業將OT資安供應商數量控制在四家以內,反映出供應商整併與平台化的雙重趨勢。
在數位轉型與資安法規雙重壓力下,OT環境的資安治理已邁入轉折點。從強化資安文化開始,搭配成熟度導向的流程改善與平台整合策略,將是未來企業確保營運穩定、因應複合型威脅的重要關鍵。
左起Fortinet OT事業拓展經理陳心怡、台灣區總經理吳章銘、資深技術顧問楊光明、FortiGuard研發中心台灣區經理林樂,共同發布《2025年OT與網路資安現況調查報告》。