近年來,駭客攻擊目標已從 IT 領域逐漸深入 OT 環境,國家級駭侵行動持續威脅各國關鍵基礎設施,使公部門、高科技製造業與基礎設施營運商成為首要攻擊目標。為因應此威脅,企業與機構必須重新檢視其 OT 資安戰略,建立前瞻性的主動防禦機制,同時運用 AI 自動化技術來強化整體安全韌性。有鑑於此,資安人主辦
2025 OT 資安年會,並與協辦單位國際自動化協會臺灣分會,邀集勤業眾信、Fortinet 、OPSWAT 、OpenText 、Cisco、DEKRA、Waterfall Security、Tenable等企業專家,共同探討最新攻擊趨勢並分享實務經驗,協助組織打造更穩健的數位防線。
OT與IT合作關鍵 單向光纖與普渡模型為資安防護新思維
勤業眾信聯合會計師事務所 資深執行副總經理 簡宏偉
勤業眾信聯合會計師事務所 資深執行副總經理 簡宏偉 指出,OT 系統與 IT 系統的整合已成為不可逆趨勢,同時大幅提升資安風險。由於OT設備特性是「能不關機就不關機」,修補漏洞所需時間遠超 IT 系統,某些組織甚至需要7個月至1年才能完成。駭客已發現攻擊使用老舊開發環境且安全概念薄弱的 OT 系統,能獲得比IT系統更高報酬。
簡副總也根據威脅情資分析,OT 系統主要面臨三大攻擊途徑:從 IT 系統延伸至 OT 系統的漏洞(46%)、遠端存取(42%)及可連網裝置(39%)。其中,影子裝置(Shadow Device)如手機熱點分享,是常被忽視的安全隱憂。
針對防護策略,則建議採用 IEC 62443 架構及普渡模型管理 IT 與 OT 界面,並避免使用遠端存取;必要時須經資安長同意,在特定點位使用並監控,避免長時間連線。此外,更推薦組織使用單向光纖技術以確保資訊「只出不進」,並應具備「墊高攻擊成本」的防禦概念,加強郵件安全意識,因為最常見的攻擊方式仍是電子郵件。簡宏偉強調,落實 OT 與 IT 的基本防護,就是導入 IEC 62443 資安框架。
國際自動化協會臺灣分會 剖析全球 OT 資安法規的實務落地關鍵
國際自動化協會(ISA)臺灣分會 會長 林上智
國際自動化協會(ISA)臺灣分會 會長 林上智 以「從合規走向韌性:剖析全球 OT 資安法規的實務落地關鍵」為題,分享歐盟網路強韌法案(CRA)將於 2026 年 9 月生效。不符合規範者最高可被處以 1,500 萬歐元或營業額 2.5% 的罰款。CRA 將結合歐盟認證標章(CE Mark),依產品重要性進行分級:一般產品僅需自我評估,而關鍵產品則需第三方驗證。
林會長指出,目前全球資安法規—包括美國北美電力可靠度委員會關鍵基礎設施保護(NERCCIP)、日本經濟安全保障促進法(ESPA)以及國際船級社要求等—皆逐步與 IEC 62443 標準接軌。他特別強調,2025 年 1 月美國與歐盟等國家共同發布的「安全源於需求」(Secure by Demand)白皮書中,列出了 12 項資產擁有者應具備的安全要素,其中包括漏洞管理、預設安全及軟體物料清單等。
值得注意的是,這些國際標準組織特別強調資產擁有者的「自主性」,建議採購符合 62443 標準的產品,以避免受特定廠商限制。林會長進一步說明,ISO 27001 著重於 IT 資安管理系統,而 IEC 62443 則專注於 OT 控制系統的資安防護,兩者相輔相成,共同為企業提供從 IT 到 OT 的完整防護架構。
借鏡智慧電網經驗 建構 OT 資安防護體系
在年會總結座談中,主持人
國際自動化協會臺灣分會 會長 林上智 及與談人
泓德能源科技股份有限公司 資深工程師 江妤晴、
台塑新智能科技股份有限公司 研發工程師 黃正偉 及
加雲聯網股份有限公司 Cyber Innovation Lead 劉俊瑋 共同探討智慧電網資安的現況與未來發展。專家們皆強調,資安如同「下水道工程」,雖看不見直接效益卻不可或缺。他們指出,隨著智慧變電站、智慧電表及儲能系統等設施日益聯網化,資安風險也隨之提升。
由左至右為:泓德能源科技股份有限公司 資深工程師 江妤晴、台塑新智能科技股份有限公司 研發工程師 黃正偉、加雲聯網股份有限公司 Cyber Innovation Lead 劉俊瑋
泓德能源 資深工程師 江妤晴 除了分享該公司正在進行花蓮 40MW 儲能系統的 IEC 62443 認證經驗,並指出企業面臨兩大挑戰:舊有系統整合與資安人才匱乏。江工程師建議企業應建立嚴謹的安全開發流程 SOP,強調即使不進行認證,也應確保基礎資安水準。她呼籲政府單位提供更多實作課程,協助業者將理論應用於各類公控場域。
台塑新智能 研發工程師 黃正偉 則建議資安投資應依據風險評估結果配置資源,強調「有多少預算做多少資安」的務實態度,此外, Safety 與 Security 應相輔相成,特別是在儲能領域。他期待政府透過採購規範納入 IEC 62443 等標準來引導產業資安升級,但提醒中小企業應分階段推動,避免一步到位。
加雲聯網 Cyber Innovation Lead 劉俊瑋 從系統整合商角度分享,指出資安推動最大障礙在於客戶認知不足和預算限制。他提出運用 Digital Twin 技術於資安演練的創新構想,可模擬駭客入侵後的應變流程。更建議建立台灣資安事件資料庫,使業者能從過往案例學習,並強調需要結合 AI 技術與資安框架,透過專家綜合討論才能達成資安的最佳實踐。
OT 環境面臨的資安風險與威脅
Fortinet 工控領域資安技術顧問 曹仁賢
Fortinet 工控領域資安技術顧問 曹仁賢 強調,OT 環境所面臨的資安挑戰不容小覷。他指出,目前產業環境中,駭客入侵後平均需要 21 天才能被發現,部分案例甚至潛伏長達四年半之久。此外,企業不能忽視 AI 技術在資安維運上的重要性:當駭客開始運用 AI 時,不能僅仰賴傳統防禦方法,必須導入 AI 技術來進行對抗。
由左至右為:Waterfall Security Regional Director Sales APAC Koby Ganini、iSecurity 總經理 蘇隄、技術經理 陳建棠
Waterfall Security Regional Director Sales APAC Koby Ganini、
iSecurity 總經理 蘇隄 及
技術經理 陳建棠 共同分享,近年來約 90% 為勒索軟體攻擊,主要鎖定製造業與交通事業。在 OT 攻擊事件中,四分之三屬於間接影響,其中近半數是企業因擔憂 OT 環境安全性不足,而主動採取預防性隔離措施。企業可採用光的物理方向性限制技術,確保資料僅能單向從 OT 傳送至 IT 環境,以取代防火牆或 VPN 等傳統方式。此設計不僅能防止攻擊者從 IT 網路反向入侵 OT 系統,同時也能滿足資料存取需求。更強調,單純依賴 IT 技術來確保資訊安全是不足的,重要基礎設施需要更全面的防護思維,在業務需求與安全風險間取得平衡。
工業資安的核心思維與保護框架
OPSWAT 北亞區技術顧問 周裕華
OPSWAT 北亞區技術顧問 周裕華 表示,在智慧製造時代,資安防護必須以「知識為本,行動為輔」的方針進行。他指出,防護思維應從「Trust no file, Trust no device, Trust no network」的原則出發。更提醒,工控協議不應進入 IT 環境,因為一般 IT 防火牆無法正確識別這類工業協議。
Cisco 亞太區工業物聯網事業部 產品經理 吳竣民
Cisco 亞太區工業物聯網事業部 產品經理 吳竣民 指出,IT 與 OT 的有效協作是企業提升工業資安韌性的關鍵,工業資安防護應從三大面向著手:資產可視化、安全防禦及威脅應變。更強調,OT 資安並非各產品的單打獨鬥,而需要整體防護網的概念,確保從控制器、機台連接的第一道門戶就具備安全防護。
工控安全的實務與因應
OpenText 資深顧問 李昆龍
在資安實務上,
OpenText 資深顧問 李昆龍 觀察到,許多企業的 OT 環境面臨帳號分散管理的問題:由於大多數機台設備未加入網域,帳號散落各處而難以集中管理。企業通常有數百台機器各自擁有獨立帳號,形成重大安全隱憂。除此之外,產線上還經常出現來源不明的陌生帳號,以及密碼管理不當的問題。資安管理不僅要檢查使用者行為的「合法性」,更要判斷行為是否「合理」。透過全程記錄操作行為,建立使用者行為模式,可以及時識別異常情況,即使是在合法授權下的不合理行為也能被發現,降低 OT 環境的資安風險。
Tenable 資深安全架構師 李元勛
Tenable 資深安全架構師 李元勛 從攻擊鏈探索 OT 安全,指出現代 OT 安全範疇已超越廠區生產線,需擴展至整體環境,包含 IoT 設備及辦公室系統。針對 OT 安全管理,李元勛提出四大策略:資產盤點、弱點評估、設定檔監控及連線行為偵測。他強調,OT 環境中雖存在眾多漏洞,但並非每個漏洞都會被駭客利用,企業應結合威脅情資來評估實際風險。透過 BPR 分數機制,企業能更精確地判斷哪些漏洞需要優先處理。
與會專家一致呼籲,面對智慧電網發展趨勢,企業應積極建立資安意識,而政府則需要透過政策引導與資源挹注,共同提升台灣關鍵基礎設施的資安韌性。