資安長 CISO 長期被忽視、可視化程度低！台灣企業的 3 大資安風險|經理人

網路資安大廠 Fortinet 公布《2022 OT 資安與網路安全現況調查報告》，顯示有多達 93% 的營運科技（Operational Technology，OT）企業組織，在過去12個月內系統至少被入侵一次，近 78% 的受訪者更經歷三次甚至更高頻率的資安事件，較去年增加 15%。

Fortinet 北亞區總經理陳鴻翔表示，國際企業系統被駭、導致製程停擺的案件層出不窮，國內也有半導體大廠曾因此損失高達 70 億台幣，聚焦在工業控制系統的 OT 業者，資安防護能力將是台灣邁向智慧製造的關鍵，不容小覷。

OT 業者面臨的常見入侵手法包括惡意軟體（44%）、網路釣魚（41%）、駭客入侵（39%）與行動裝置的資安漏洞（37%）等，而 Fortine 在報告中，指出企業資安現況的三大問題：

一、可視化程度過低，有問題也看不見

也就是企業對於系統中的活動掌控度低，就算突然出現異常登入、半夜拖拉大量資料等狀況，公司可能都一無所知。根據報告，今年只有 13% 的受訪組織實現所有 OT 活動可視化，其中也只有 52% 能夠在安全營運中心追蹤所有OT活動。

Fortinet 台灣區總經理吳章銘表示，可視化是資安風險評估的第一步，企業需要先監測追蹤所有 OT 活動，接著將之分門別類管理，確認設備位置、每天在系統中發生哪些事，最後訂立保護機制，在發生問題時及時啟動。

Fortinet 發現在企業組織中，負責工業控制系統的 OT 和負責計算機、資料網路的 IT 經常權責不清，吳章銘指出，對 OT 管理來說，架構的「穩定安全」是最優先的事，最好什麼都不要動，但對 IT 來說彈性調整更新相當重要，導致雙方溝通出現障礙。

儘管 2019 年資通安全法通過後，帶起「資安長」設立風潮，感覺可以負責統整管理，但對於資安長的層級並未做明確定義。Fortinet 的報告中，只有 15% 的受訪者表示資安長需要對其組織的 OT 安全負責，其他則傾向由總監或經理等人員負責。

吳章銘就以自己朋友的經驗為例，他在一間醫院工作，原本擔任資安長，但層級不夠高，根本推不動轉型，後來醫院直接改由副院長接手資安長工作，才進展順利。

「這是比較有魄力的公司才會做的事，若由組長來擔任，完全力不從心。」Fortinet建議拉高資安管理層級，並將權責區分清楚，才能有效推動組織內的安全管理。

報告中發現，台灣只有 21% 的組織達到了第 4 級，也就是組織可落實協調（Orchestration）與自動化（Automation）的階段。若和其他地區相比，拉丁美洲和亞太地區達到 4 級的比例高達 70%，都擁有更成熟的 OT 安全維運水準。

不只成熟度不夠，絕大多數組織都使用 2 至 8 個不同供應商提供的工業設備，並且有同時 100 到 10,000 個設備同時運行，增加維運的複雜度。

吳章銘表示，企業需力求在與最少的供應商合作的情況下整合 OT 和 IT 技術，把基礎設施統整，放在單一安全平台集中管理。

Fortinet 北亞區技術總監劉乙指出，近年廠商對於資安的意識已經有所提升，但還是有客戶會以為自家所謂的「封閉網路」就能阻擋一切攻擊，結果外部人員用手機一掃就可以進去系統，「如今就連核能廠等國防設備都有機會被入侵，何況是你家的工廠？」

除了落實活動可視化外，企業必須做好零信任建設，就算知道 IP 是員工，也不能相信你，只給你最小限度的權限，按照你的地址、行為等資訊，一步步決定要給多少權限，最後是整合資安工具和不同供應商的工業設備，完整 OT 安全防護網。

本文出自：數位時代