工控資安的風險管理，製造業數位轉型階段的必須作為

各企業面臨的轉型課題

在台廠大舉回流，疫情導致的缺工議題持續發酵，少子化的進程連帶影響，提升了廠房對於自動化的需求，從數位化、數位優化到數位轉型的進程都是為了最終實現智慧製造的能力。導入AI人工智慧、雲端系統、物聯網等整廠設計，提高自動化程度，實現設備效率(OEE)數位化，提高生產效率，同時應對淨零碳排的宣示，使用潔淨能源，設定智慧電表，讓自家廠房的生產製造的產品更具有低碳且高品質的競爭力。

IT+OT的資安威脅

工業4.0的發展讓製造商得以實現更高的生產效率，工廠網路架構從封閉走向開放，而工業領域使用的虛擬與實體系統已高度互聯，以往IT與OT為各自分切的個體，但因物聯網的特性，越來越多生產設備具備IP功能，聯網設備能為生產帶來極大便利性，但也同時造成更多資安破口，增加更多攻擊面。

勒索病毒與內部威脅是工廠資安一直以來飽受困擾的問題。Palo Alto Networks近期的IoT安全報告發現，在2020年3月時，57%的物聯網裝置對於中、高級的網路攻擊缺乏抵抗力，使其相當容易成為攻擊者鎖定的對象。

Claroty做了一項獨立調查，並在2022年2月發布。報告指出，在8成曾遇過勒索病毒攻擊的受訪單位中，47%表示他們的工控系統受到影響，超過6成的組織因攻擊而付出贖金，其中過半組織所支付贖金為50萬美元或以上，而即便付了贖金，也有28%組織表示其營運影響超過1週以上。而除了勒索病毒問題外，組織內部資料竊取與外洩問題也層出不窮，對於製造業來說是巨大的威脅，一但資安發生問題，造成產線營運停擺，其損失無法估計。

工控資安的重要

隨著IT與OT環境導入雲端、邊緣與5G，工業環境的運作方式與系統也正快速轉型，企業在逐步邁向ESG的過程中，也須掌握最新情勢並採取對應的資安措施來保護企業資產。而要保護工業雲端與企業專網，最重要一步是提升風險與威脅的可視性。

企業在面對勒索軟體時，應採取資安零信任。所謂零信任是指在未驗證、確認可信前，沒有一個連線、用戶或資產是值得信任的，零信任結合不同原則與技術，盡量減少敏感基礎設施的暴露，好處是能夠偵測和緩解試圖在允許的流量上搭便車的已知與未知威脅，並對傳統或未修補的人機介面控制系統中的未知漏洞進行保護，也能減少數據外洩的風險。

除了資安零信任以外，也須清楚IT與OT在資安環境的需求差異，IT資安著重資料可用性、資料完整性與機密性；而OT 資安重視設備的高可用性與使用安全性，兩者重視環節不同，其營運的網路架構與環境也不能如IT資安一視同仁處理。在實際IT+OT的資安監控建議上，加強資安網段隔離、虛擬資安補丁填補既有漏洞、建立適合廠辦人員的中央監控平台、針對網路流量與傳輸協定控管與定期進行惡意程式掃描，都是製造業在迎接物聯網時代必須了解且應對的實際措施。

未來企業除了遵守ESG的與永續經營指標外，高度聯網的工控資安也是急需重視的項目，在數位轉型的同時，其營運與安全的傳輸環境有高度相關，而如何避免資安威脅企業資產，則仰賴企業能否因應時勢，採取對應措施做好資安韌性，以應對不斷變化的聯網資安威脅。

資安相關延伸閱讀：

網路行為引發的資安風險：資安管理

內文資料來源：

工業設備網路攻擊造成企業數百萬美元損失

以色列新創Claroty談工控 製造業應提升資安韌性

工業4.0打開OT破口 資安風險更甚以往

OT資安服務

就享知 | 就想知道的數位知識

每天10分鐘 | 豐富你的數位新知