Fortinet公布《2022 OT資安與網路安全現況調查報告》,報告顯示93%的營運科技(OT)企業組織在過去12個月中至少被入侵一次,更有近八成(78%)的受訪者表示,過去一年內曾經歷三次甚至更高頻率的資安事件,較2021年增加15%。OT業者面臨的常見入侵手法包括惡意軟體(44%)、網路釣魚(41%)、駭客入侵(39%)與行動裝置的資安漏洞(37%)等。
Fortinet 台灣區總經理吳章銘表示:「隨著全球疫情逐漸緩和,台灣過去幾年於智慧製造的耕耘即將斬獲成果,其中OT業者的資安防護能力將會是台灣邁向智慧製造全新時代的關鍵。根據工研院2021年的調查,200人以上製造業的資安發展阻力中,前三大挑戰分別是內部技術能量不足、公司對於資安投資報酬率缺乏了解,以及內部員工缺乏資安意識,這也與Fortinet今年全球OT和網路安全報告的結果不謀而合。OT安全已引起了企業領導層的注意,然而
組織內缺乏的安全性設計的可程式邏輯控制器 (PLC)、持續面臨的資安攻擊、缺乏可視化的OT活動,以及不斷增加的OT連網數量,都是企業現正面對的嚴酷挑戰。這也是為何將OT與IT的融合至關重要。」
OT安全四大發現
一、OT活動可視化程度低,安全性風險陡增
Fortinet報告顯示,97%的全球組織認為OT在其整體安全風險中扮演著重要角色。然而,今年僅有13%的受訪組織實現所有OT活動的可視化,且僅有52%的組織能夠從安全營運中心(SOC)中追蹤所有OT活動。報告也指出,缺乏集中的可視化會導致組織的OT安全風險增加、安全性降低。
二、OT資安入侵事件會大幅影響企業生產力,重則危及整體維運
Fortinet報告發現,93%的OT組織在過去12個月內至少經歷過一次入侵,78%的組織則有遭受超過三次的入侵。由於這些入侵事件,近50% 的組織營運面臨中斷,不僅大幅影響生產力,其中還有90%的入侵事件需要數小時或更長時間才能恢復服務。此外,三分之一的受訪者也認為,因資安入侵事件導致的資料外洩、財產損失、合規性質疑,甚至是品牌價值也將受到影響。
三、企業內的OT 安全權責不明,僅15%表示應由資安長負責
根據Fortinet的報告,OT安全管理主要由總監或經理等人員負責,如工廠營運總監或製造營運部經理。只有15%的受訪者表示資安長(Chief Information Security Officer,CISO)需對其組織的OT安全負責,較去年下降2%。今年有高達33%的受訪者表示,網路工程總裁應對OT安全負責,其次為營運科技總監或網路安全經理(25%)、資訊長(19%)、技術長(6%)與營運長(1%)。
四、OT安全成熟度逐步提升,但許多組織中仍然存在安全漏洞
當被問及其組織的OT安全狀況的成熟度時,只有21%的組織達到了第4級,意即組織可落實協調(Orchestration)與自動化(Automation)。值得注意的是,與其他地區相比,拉丁美洲和亞太地區達到4級的比例更高,超過70%的組織擁有成熟OT安全維運的水準。
與此同時,這些組織在使用多種OT安全工具時也面臨挑戰,進而使他們在OT安全程度方面形成差距。該報告發現,絕大多數組織使用2至8個不同供應商提供的工業設備,並且有同時100到10,000個設備同時運行,增加維運的複雜度。
企業高層開始重視OT的重要性
報告中顯示,隨著OT系統漸漸成為網路犯罪份子的目標,企業的高層領導者也開始意識到保護OT環境以分散組織風險的重要性。工業系統已成為一個重要的風險因素,主因為這些OT環境原本與IT和企業網路呈現實體隔離(air-gapped)狀態,但現在OT與IT這兩個基礎設施正普遍走向整合。在工業系統隨時隨地皆可連網的時代,組織的攻擊面也會隨之增加,因而促使全面保護其工業控制系統(ICS)的行動應運而生,同時強化監控和資料蒐集系統(SCADA)的需求。
克服OT安全挑戰的最佳實踐
Fortinet的《2022 OT資安與網路安全現況調查報告》提出解決OT系統漏洞並加強其整體安全狀態的方法,包含:
- 建立零信任安全存取,防止資料外洩:越來越多的工業系統具備連網的能力,零信任的應用解決方案可確保沒有適當憑證和存取權的使用者、設備或應用程式,接觸到公司內重要的數位資產。為了推進OT安全工作,零信任的應用可以進一步抵禦內部和外部的威脅。
- 落實OT 活動的集中可視化:集中且端到端的OT可視化組織強化安全的關鍵。根據Fortinet的報告,過去一年有6%的模範組織沒有任何OT資安入侵事件,而他們集中可視化的完成度是曾有入侵事件的同行的三倍以上。
- 整合資安工具和不同供應商的工業設備,完整OT安全防護網:為降低管理的複雜度,並達到所有OT活動的可視化,組織們應力求在與最少的供應商合作的情況下整合OT和IT技術,以減少攻擊面、改善安全性。
- 佈署網路存取控制功能(NAC):過去一年中,較少受到資安入侵的組織多數都擁有「以角色為基礎之存取控制功能(Role-based NAC)」,確保只有經過授權的「個人」才能存取富有重要數位資產的特定系統。