數位轉型,早已不是新鮮的話題,而是企業帶著深刻的迫切感努力追求的目標。根據PwC 2023年的調查顯示,全球超過40%的CEO認為十年內若無法有效數位轉型,組織將失去競爭力。而根據Gartner 2023年針對 CIO的調查顯示,CIO未來的技術計劃在過去兩年的數位技術投資,主要(53%)都是為了提高營運的卓越度,投入資源最大的項目就是網路安全。這些布局透露出關鍵的訊息:不管是數位營運的優化或是以數位轉型打造新型態的服務,資訊安全的落實,成為一個無法忽視請必須優先處理的要項。
工控物聯網已經是駭客的箭靶上的一塊肥肉。在2021年,製造業被駭客攻擊的頻率,已經正式取代金融業成為百業之冠。其中,以勒索軟體為攻擊的大宗。工控場域面對資安議題,面臨的是內憂外患的綜合挑戰,需要考量的面向也越來越多:
- 新興威脅:不斷進化的勒索軟體、新型態的供應鏈攻擊,以及針對特定關鍵設施或是場域的攻擊手法,成為企業資安的隱憂。
- 地緣政治:政治團體支持下的駭客攻防,以及因應這些行動所衍生出來的法規,都將大大影響資安布局的必要性以及先後次序。
- 連帶損害:IT與OT資訊系統的互融往往是數位轉型的必要條件,然而資安事件外溢也成為主要的問題。TXOne Networks在2022年的工控資安調查中揭露,有94%的受訪者承認在自己負責的工控場域,受到來自IT端的資安事件連帶傷害。
- 資安破口:來自外部的攻擊,包含供應鏈中其它接入本場的系統,以及實體進出的人員所使用的數位工具,都必須要有效地檢視及控管。
- 人才不足:工控場域首重營運效率,因此皆為操作專才,但是在資安人力的配置、整體單兵資安能力的強度,或是整體組織內資安系統的接軌,都變成新的課題。
面對以上種種新的挑戰,首要之務就是盤點工控資安要項,重建工控資安的觀點。每次工控系統被攻擊成功的背後,都指向明確且巨大的財損。而早期「隱匿式資安」這種把所有營運都關在內部網路的觀念,已經證實無法有效防堵資安事件。很明顯的,產線上的關鍵機台,不能只靠網路阻絕,而需要更有效的防禦措施。
然而,由於工控場域的設備及運行條件異於一般IT領域,往往組織在部署資安的時候會遇到窒礙難行。在此建議幾個方向,作為業界的參考:
- 回歸根本核心,進行全面的資訊安全評估,並採用專以工控角度設計的資安解決方案,以關鍵資產為中心,在資產的生命週期的每一個階段都建立相對應的資安措施。
- 以零信任的原則,將所有關鍵設備進行包圍式的資安保護,以突破各種技術或是商務上的限制,落實資安。整體來說,可以從資安檢測、端點防護、網路安全這幾個面向進行軟硬體資安部署的協作,確保全面性的資安防護線。
- 採用不破壞生產流程的資安部署,在確保不影響營運的狀況下,強固資安體質,並將工控領域專屬的資安要件,納入資安部署的前提考量。選擇針對工控領域專屬的傳輸協定或是應用軟體有一定程度瞭解的資安方案,是必要的關鍵。
許多國家紛紛提出類似「資安即國安」的說法,事實上,在數位轉型的路上,資安的落實,也成為企業長治久安的基石。數位轉型是一個旅程,能夠克服路上資安障礙的領航者,必能駛向偉大的航道。
