9成OT企業過去一年被駭過！Fortinet資安報告：看不見問題、資安長層級太低成隱憂

網路資安大廠 Fortinet 公布《2022 OT 資安與網路安全現況調查報告》，顯示有多達93% 的營運科技（OT）企業組織，在過去12個月內系統至少被入侵1次，近78%的受訪者更經歷3次甚至更高頻率的資安事件，較去年增加 15%。

Fortinet北亞區總經理陳鴻翔表示，國際企業系統被駭、導致製程停擺的案件層出不窮，國內也有半導體大廠曾因此損失高達70億台幣，聚焦在工業控制系統的OT業者，資安防護能力將是台灣邁向智慧製造的關鍵，不容小覷。

OT 業者面臨的常見入侵手法包括惡意軟體（44%）、網路釣魚（41%）、駭客入侵（39%）與行動裝置的資安漏洞（37%）等，而Fortine在報告中，指出企業資安現況的三大問題：

也就是企業對於系統中的活動掌控度低，就算突然出現異常登入、半夜拖拉大量資料等狀況，公司可能都一無所知。根據報告，今年只有13%的受訪組織實現所有OT活動可視化，其中也只有52%能夠在安全營運中心追蹤所有OT活動。

Fortinet 報告中點出企業可視化程度的不足。

Fortinet台灣區總經理吳章銘表示，可視化是資安風險評估的第一步，企業需要先監測追蹤所有OT活動，接著將之分門別類管理，確認設備位置、每天在系統中發生哪些事，最後訂立保護機制，在發生問題時及時啟動。

Fortinet發現在企業組織中，負責工業控制系統的OT和負責計算機、資料網路的IT經常權責不清，吳章銘指出，對OT管理來說，架構的「穩定安全」是最優先的事，最好什麼都不要動，但對IT來說彈性調整更新相當重要，導致雙方溝通出現障礙。

儘管2019年資通安全法通過後，帶起「資安長」設立風潮，感覺可以負責統整管理，但對於資安長的層級並未做明確定義。Fortinet的報告中，只有15%的受訪者表示資安長需要對其組織的OT安全負責，其他則傾向由總監或經理等人員負責。

吳章銘就以自己朋友的經驗為例，他在一間醫院工作，原本擔任資安長，但層級不夠高，根本推不動轉型，後來醫院直接改由副院長接手資安長工作，才進展順利。

「這是比較有魄力的公司才會做的事，若由組長來擔任，完全力不從心。」Fortinet建議拉高資安管理層級，並將權責區分清楚，才能有效推動組織內的安全管理。

報告中發現，台灣只有21%的組織達到了第4級，也就是組織可落實協調（Orchestration）與自動化（Automation）的階段。若和其他地區相比，拉丁美洲和亞太地區達到4級的比例高達70%，都擁有更成熟的OT安全維運水準。

不只成熟度不夠，絕大多數組織都使用2至8個不同供應商提供的工業設備，並且有同時100到10,000個設備同時運行，增加維運的複雜度。

吳章銘表示，企業需力求在與最少的供應商合作的情況下整合OT和IT技術，把基礎設施統整，放在單一安全平台集中管理。

Fortinet北亞區技術總監劉乙指出，近年廠商對於資安的意識已經有所提升，但還是有客戶會以為自家所謂的「封閉網路」就能阻擋一切攻擊，結果外部人員用手機一掃就可以進去系統，「如今就連核能廠等國防設備都有機會被入侵，何況是你家的工廠？」

除了落實活動可視化外，企業必須做好零信任建設，就算知道IP是員工，也不能相信你，只給你最小限度的權限，按照你的地址、行為等資訊，一步步決定要給多少權限，最後是整合資安工具和不同供應商的工業設備，完整OT安全防護網。

責任編輯：侯品如

科技