製造業涵蓋電子、汽車、能源、消費品和醫療等行業,並在世界各地組成複雜的供應鏈,和物流、科技等行業緊密合作,可說是推動全球經濟發展的關鍵。過去數年,從疫情到地緣政治風險頻仍,提升供應鏈韌性成為製造業的第一要務。然而,數據顯示,製造業連續3年成為網路攻擊的最大目標,並且,在數位化的浪潮下,過去10年製造業致力發展機器人、AI、雲端運算和工業物聯網(IIoT),這表示透過網路連結、創新成長的同時,也面臨安全挑戰。
製造業受到的網路攻擊,多與近年數據透明度提高有關,其中71%涉及勒索軟體,主因是跟其他行業比,製造業網路韌性較低,讓駭客有利可圖。2024年,德國電池製造商Varta AG因系統遭網路攻擊,導致5家工廠停產超過2周。
世界經濟論壇(World Economic Forum)日前發布《製造業建立網路韌性》白皮書(Building a Culture of Cyber Resilience in Manufacturing)表示,邁向工業4.0的智慧製造已是大環境趨勢,而強化網路韌性則成為製造業下一個數位轉型重點。網路韌性是指強化資訊系統、基礎架構和網路安全等。即使遭受網路攻擊,也能迅速應對,並維持穩定運作。
製造業強化網路韌性4大重點
報告指出,製造業受到網路攻擊可能產生連鎖反應,恐影響到供應鏈其他廠商,因此從組織內部流程到外部夥伴合作都須重視。
1. 建立組織安全規範
公司領導者要學習網路韌性策略,也必須投入預算和資源,落實到供應鏈和工作環境中,明確角色分工。例如成立安全團隊,包含資料處理(IT)到現場設備、工程系統管理(OT)成員,再由團隊制定安全守則,分配任務及KPI給各單位,搭配激勵措施,讓員工能識別威脅並主動回報。
2. 納入產品線流程
包括把防範網路攻擊的設備及系統整合到產品研發和製造中,並訓練內部員工和外部供應商,確保生產過程皆遵守安全標準。或者透過數位憑證的方式,確保產品可信度,例如西門子公司(Siemens)導入PKI(公開金鑰基礎架構,Public Key Infrastructure),此數位憑證會儲存在公司的產品或解決方案中,可用在操作過程中進行身份驗證,或者反過來證明這是西門子的正版產品或設備。
3. 擬定安全計畫
先掌握可能遇到的網路攻擊後,組織內部進行情境演練,例如營運中斷、資料遭竊等狀況,討論如何因應。若發現安全團隊的現有技術無法處理,建議找外部資源協助,包括政府單位、網路安全公司、資安託管服務(MSSP)或顧問公司,全面檢視公司的安全漏洞、潛在威脅,進行滲透測試和風險評估,建立符合公司的安全計畫。
4.生態系共同合作
從原料供應、設備、組裝到物流等廠商,都屬於利害關係人,需要整個生態系提高安全意識,建立夥伴關係。比方說和供應商達成共識,選擇安全遠端存取方案等。
核稿編輯:張玉琦
資料來源:世界經濟論壇(World Economic Forum)(1)、(2)
延伸閱讀
9 成 OT 企業一年內被駭過!資安大廠:CISO 權責不明、層級太低將成隱憂
使用外部 AI 工具,如何避免公司機密外流、降低資安風險?
加入《經理人》LINE好友,每天學習商管新知
留言 0