根據資安業者 Dragos 和 Marsh McLennan 的最新研究報告,全球 OT 資安事件的財務風險現已有具體數據可參考。《2025年OT資安財務風險報告》顯示,在極端情境下,全球每年可能面臨超過 3,295 億美元(近10兆台幣)的風險損失。
保險數據顯示:全球OT網路資安風險高達3,295億美元
此分析基於十年保險理賠與資安事件數據,由 Marsh McLennan 網路風險情報中心建模分析。研究採用全球最大保險理賠資料庫之一,且與 Dragos 獨立進行,在 OT 專業財務數據相對稀缺的情況下,提供了具有重要參考價值的研究成果。
報告模擬了三種主要財務情境。
在一般情況下,OT 資安事件引發的營運中斷(BI)理賠平均風險總額可達 127 億美元。若考慮所有 OT 相關事件(無論是否導致營運中斷理賠),風險金額則上升至 311 億美元。對於發生機率僅為 0.4% 的極端高影響「尾端」事件,營運中斷相關損失可能高達 1,724 億美元,而當計入直接和間接成本時,此類情境的總風險更可能攀升至 3,295 億美元。
間接成本是這些巨額損失的主要驅動因素。報告指出,
約 70% 的 OT 相關資安事件都涉及間接影響,例如基於謹慎考量而暫停生產,或因連鎖反應導致的互連系統故障。這些損失通常隨時間擴大,並可能超過直接修復成本,尤其對大型組織而言更是如此。
全球風險於各產業的影響
雖然所有產業都面臨日益增加的 OT 網路安全風險,
製造業是風險最高的領域之一,每年發生資安事件的機率達 0.71%。化學製造和製藥等子產業的風險尤為顯著,而公用事業、油氣產業、營建業和建築自動化領域同樣需要重點關注。
從地理角度看,北美和歐洲地區的 OT 事件發生率最高。然而,報告指出,在監管或監控機制較不健全的地區,資安事件可能存在嚴重的通報不足現象。大型企業因知名度較高且 OT 環境更為複雜,通常面臨較高的資安事件風險。
透過關鍵控制措施降低風險
報告後半部分模擬了特定 OT 資安控制措施如何降低財務損失的可能性和嚴重程度。以 SANS ICS 五大關鍵控制為基準,Marsh McLennan 的分析顯示每項控制措施與風險降低之間都存在明確且可量化的關聯。
相關文章:工控資安進化論:SANS五大控制框架下的現況與關鍵啟示
資安事件應變規劃在分析中脫穎而出,可減少高達 18.46% 的財務風險。其次是可防禦的架構設計(降低 17.09% 風險)以及網路可視性與監控(降低 16.47% 風險)。風險導向的弱點管理和安全的遠端存取則分別可降低 13.87% 和 12.18% 的風險。
報告強調,這些控制措施的效果並非單純相加,其綜合作用難以精確建模。即便如此,這些具體數據為資安長提供了資料導向的方法來優先排序投資項目,特別是在預算有限的情況下。
從風險評估到策略執行
研究的核心訊息是 OT 資安風險既可量化也可管理。了解潛在損失規模及哪些控制措施能提供最佳風險降低效益,為資安主管提供了更有力的投資決策依據。
對資安長而言,有兩個關鍵啟示:首先,
OT專屬的資安事件應變規劃應為首要工作,並需與工程和營運團隊整合,同時針對真實威脅情境進行測試。其次,
OT 環境的可視性已是必要條件,而非選項。缺乏持續監控將導致無法檢測早期警訊、擷取必要鑑識資料,或在事件發生時有效應對。
本文轉載自 HelpNetSecurity。