[專欄] <%:data.title%>

專題 <%:data.title%>

<%:~nl2br(data.summary)%>

<%:data.subtitle%>

<%:data.subtitle%>

#<%:prop.issue%>

<%:~formatDate(prop.online_date, 'YYYY MMM DD')%>

<%:prop.title%>
<%props prop.kols%>
<%:prop.realname%>
<%/props%>
<%if prop.column_id != 0 %> <%/if%> <%if prop.topic_id != 0 %> <%/if%>
<%:prop.realname%> <%:prop.realname%>
<%:prop.realname%>

<%:prop.realname%>

<%:prop.intro%>

add
新會員

<%:prop.email%>

add

為何地緣局勢緊張,更凸顯製造業資安的重要性?

2022-11-25 10:30:00

圖片來源 - Unsplash

questionquestion

供應鏈一旦陷入混亂,將強烈衝擊人們的生活。從已發生的疫情到俄烏戰爭,到未來因地緣政治緊張引起的軍事封鎖,都可能讓供應鏈陷入混亂的狀況雪上加霜,成了駭客攻擊的最佳時機。製造業真的準備好應對這類資安攻擊了嗎?

發生什麼事?

未來,資訊戰未來可能是實體衝突的先鋒。美國眾議院議長裴洛西在 2022 年 8 月抵台,中國隨即派出網路攻擊部隊,入侵台灣便利超商與台鐵的電子看板,多個政府部會網站也遭癱瘓。(TechNews

  • 地緣政經衝突已經成為資安戰場,使製造業成為首要資安攻擊的目標之一。
    • 微軟總裁 Brad Smith 在 2022 年五月於英國倫敦舉行的 Microsoft Envision 會議上表示,俄烏戰爭顯示戰爭方式已有重大轉變,進入「第四平面」– 網路空間,是「世界上第一場大型混合戰爭」。微軟藉由持續提供烏國網路攻擊資訊,並將政府資訊搬至雲端。(Infosecurity Magazine
  • 企業長久以來習慣供應鏈的穩定性,較難接受大規模流程再造,一旦部分供應鏈受資安攻擊,很可能造成整體癱瘓。

 

如何預防地緣衝突下的資安攻擊?

根據世界經濟論壇2022年度全球風險報告,資安威脅除了影響產業經濟層面外,也可能影響到基礎設施運作、人民凝聚力、政府公信力,以及個人身心健康。由國家支持的駭客,其攻擊對象越來越具針對性,傷害也等比成長,政府與產業應隨時做好迎戰準備。(台灣網路資訊中心

  • 政府應隨時準備保護關鍵基礎設施
    • 地緣政治下,關鍵基礎建設容易成為駭客攻擊標的。資安業者 Palo Alto Networks 認為,因台灣地域特殊性,且居全球科技業戰略位置,關鍵基礎設施數位轉型的同時,也必須資安轉型。(電子時報
    • 為有效提升資安防禦,國際半導體產業協會(SEMI)結合半導體產業鏈、經濟部工業局、數位發展部數位產業署及學術研究單位等,催生首個由台灣主導的半導體晶圓設備資安標準 SEMI E187 以及導入指南,防範半導體廠設備被惡意軟體攻擊。(科技新報
  • 製造業資安挑戰在於 IT 與 OT 整合
    • 製造業的資安分成資訊端(IT)與營運端(OT)兩種環境,IT 端以防火牆為主,強調「安全性」,以保護內部系統,如 ERP;OT 端則強調「可用性」,強調製造現場的設備安全,企業需要在兩個環境展開資安佈局,複雜度高(電子時報
    • 隨著 OT 資安威脅不斷擴大,牽連供應鏈、產線,IT 一定要能證明,導入資安方案不會影響工控系統的高可用度。IT 人也需要實際了解產線工作流程和需求想法,較能找到成功對談的途徑。(資安人

 

未來製造業資安該怎麼走?

在製造業逐漸成為地緣政經重點,政府、業者,與駭客組織全都關注著,企業在遷移供應鏈的同時,也須同步建立完善的資安防護措施,

  • 資安是橫跨工廠、各部門,甚至整個供應鏈的議題,企業要能落實資安策略與措施,首先需有董事會與執行長管理階層支持,再來是 IT 端與 OT 端的有效溝通,由於雙方職責大相徑庭,因此中間最好有人扮演橋樑的角色。(詳見文末 杜浦數位安全創辦人兼執行長蔡松廷訪談)
  • 未來在地緣政經議題持續發酵下,辨認出駭客攻擊模式是關鍵,特別是國家支持的攻擊者,除了勒索贖金外,基於政治目的對特定產業供應鏈的攻擊也須強化防護,且企業需關注各國政府宣布的相關標準與規範。(詳見文末 睿控網安執行長劉榮太訪談)

在亂世中,維持資安穩定性已經成為製造業維持競爭力,甚至建立品牌信任的一環,而從 IT 端與 OT 端資安的整合,將是企業面臨的首要挑戰,該怎麼做?一同透過以下的專訪來了解。

蘇翰揚

蘇翰揚 / 特約記者

採訪寫作

陳卓君

陳卓君 / 副總編輯

審訂

深度對談

question
當前的地緣政經局勢對製造業資安影響很大,您怎麼看這個趨勢?

共 0 則對談

 劉榮太

劉榮太

睿控網安執行長

其實撇開地緣政治先不談的話,製造業原本就是這兩年來資安的頭號受害者,原因我覺得來自兩個部分:第一是以前製造業的自動化技術可能還沒有現在發展的好,所以那時候製造業的機台其實很多都是實體隔離的,是在完全隔絕的網路之下,那時候原本也就相對安全。製造業在本來自動化和工業 4.0 的過程中,原來的空間會變大,而且像剛提到以前講隔離,但現在要做工業 4.0 或數位轉型,IT、OT 聚合,那勢必要有機台的資料才能分析、收集、上雲端,才能進一步地製程優化,上雲後就有資安問題了...

2022-11-22 11:39:15
蔡松廷

蔡松廷

杜浦數位安全創辦人兼執行長

產業資安其實範圍很大,根據不同產業、不同狀況下資安成熟度的不同,做法也會差異非常大,因為產業可能從傳統製造業、一般製造業到高科技製造業,其實對每一個的狀況真的都不太一樣。那我覺得會在意資安的人有漸漸變多,可是還是不夠多,所以現在面臨的一個大問題還是一樣,就是大家可能都知道資安愈來愈重要,可是接下來那我願意花多少錢去做資安?怎麼做資安?這個的落差還是很大...

2022-11-22 11:39:26
question
製造業在整合 IT 與 OT 資安時常有挑戰,可以怎麼解決?

共 0 則對談

 劉榮太

劉榮太

睿控網安執行長

我覺得這有幾件事情,首先是提前佈局,那佈局方法最重要的我覺得就是他一定只能是他們的長,也就是公司的董事會、執行長、董事長,這些台灣老闆一定要對資安有一定的認知,或是有一定層級的資安長,而且他必須是在公司有真正實權的人,這樣才能夠對這件事情產生影響...

2022-11-22 11:40:35
蔡松廷

蔡松廷

杜浦數位安全創辦人兼執行長

我們過去談資安大部分是 IT 而已,而當我在四、五年前開始關注 OT 資安時,可能現在還有很多廠商是根本沒有 OT 資安,所以可能是 OT 的資訊部門建置 OT 系統,OT 覺得你不要來碰我的東西,你如果管壞了是誰要負責?因為 OT 就是產線,可能是計秒鐘或計分鐘去計算損失。所以 OT 有他們自己去找的外部資源,算是蠻獨立的,而 IT 就是把辦公室管好,所以一般 IT 的安全是管不到 OT 的。那我們去問 OT 時,就發現那邊連資安都沒有,因為 OT 說不需要資安,而且我們都很封閉,如果有問題都是請原廠來處理,像是更新或壞掉的話原廠會修理,我們也沒有連網,那為什麼要做資安?...

2022-11-22 11:46:12
question
除了團隊佈局與職責外,還有哪些是 IT 與 OT 資安整合需要注意的?

共 0 則對談

 劉榮太

劉榮太

睿控網安執行長

建立先遣隊也很重要,先遣隊的目的就是去學這些限制是什麼,學了之後可能就能制定一個資安標準(security guideline),通常會是一些規則,比如 Toyota 就有一個資安標準叫 ATSG,所有Toyota 都要遵照這個,BMW、Mercedes 也要訂定。那訂定後資安要怎麼做?他們就開始從擬定方向,正規一點就會再找一個方法出來,假設滿分五分,那今天是在哪裡?我們才在德國拜訪一個我們的客戶,是一個很大很有名的車廠,在做很豪華的車子,他們剛做資安標準時,OT 滿分五分他們自評 0.8 分,幾乎沒有就是了,那過了好幾年,現在可能覺得有三分多了。所以這個過程我覺得由上而下(top-down)是必須的,先把先遣隊搞清楚是必須的。

2022-11-22 11:51:36
蔡松廷

蔡松廷

杜浦數位安全創辦人兼執行長

真正重要的其實是時間,像早期很多廠商會投入在 OT 的安全,可是 OT 的安全到現在其實還沒有真的起來,所以大家都知道 OT 很重要,可是真正要願意花錢,廠商其實都會猶豫,大家知道這會是未來的趨勢,但他可能要花三、五年,或甚至十年的時間,對廠商來說可能無法等待,不可能現在做十年後才買單,所以從新創或解決方案提供者的角度來看,我們更會去評估未來台灣和海外的市場規模到底有多大,接著再去想能不能吃到這一塊市場。其實資安有分管理面和技術面,技術面就是買很多軟硬體設備或找外部服務,管理面是內部自己要去建置的,大家都知道要做資安,但如果從管理面開始做,廠商不一定賺得到錢,這其實也是一個蠻大的問題。

2022-11-22 11:53:17
question
資安的未來趨勢發展為何?

共 0 則對談

 劉榮太

劉榮太

睿控網安執行長

必須要認清人力資源是必然缺乏的,就像剛提到為什麼能做 OT 資安的先遣團隊都這麼少,原因是幾乎找不太到既熟悉 IT 又懂 OT 的人,這種人就是鳳毛麟角。他本來很熟悉的 IT,結果不知道為什麼又被派去工廠管工廠的 OT,所以他對工廠的運營會有一定程度的熟悉,這種在各大公司的人都很少。全球資安人才都是供給不足,美國說他們缺上百萬人,這些光是傳統 IT 的資安,對每個公司來講都還好,但你進到 OT 裡面,有製造業、關鍵基礎設施、油汽、水、電、交通、醫療、建築各種不同的,那製造業裡面又有分,像是 CNC、半導體、做車子的、食品,都是不一樣的人,那做資安的要去了解製造業的運營,其實是很不容易的事情,所以要找到足夠多的人來照看這部分的資安,今天就很難。

怎麼在人很少的情境下起到一定程度的防護,就是大家要一起面臨的課題。但我覺得佈局還是必須的,以美國來講的話,美國政府就是要求公司必須要有供應鏈的資安管理,必須要在合約上要求你的供應商做好資安,然後確保供應商給你的這些商品裡面沒有資安的疑慮,那這些美國的公司,他們的供應商在哪?是在台灣,所以台灣很多大公司都受到了美國客戶的要求。

2022-11-22 11:56:42
蔡松廷

蔡松廷

杜浦數位安全創辦人兼執行長

以我們研究的領域和題目來說,我們還是會比較關注進階型的攻擊者,因為他們屬於比較難訪的進階型威脅,我會分成兩大類,一種是國家支持的攻擊者,另一種是針對型的勒索軟體,他們在接下來的一到三年會持續引起很多的事件和關注的問題來源。

這來自幾個原因:第一是現在國際情勢愈來愈緊張,從中美貿易戰、新冷戰到俄烏戰爭,這種緊張情勢就會讓各國在軍備及國防上投入更多,那在這個時代當然也包含在網路上的投入,而在網路供給的能量愈來愈大的時候,就會產生愈來愈多的網路攻擊,在能量愈來愈強大的情況下,目標受害者就會是一般的企業,一般民眾也都會是攻擊的對象,所以在這樣的情況下如何做好防守會變得愈來愈困難。現在我觀察到攻擊者愈來愈強大,所以要對付這種攻擊就需要投入更多的資源和關注,要有覺知,攻擊可能會針對所有的系統或資料,這些都是有可能發生的。

2022-11-22 11:58:44

此次與談人

蔡松廷

蔡松廷

杜浦數位安全創辦人兼執行長

 劉榮太

劉榮太

睿控網安執行長

延伸閱讀

地緣政治的秩序正在改變,台灣做好選邊站的準備了嗎?

地緣政治的秩序正在改變,台灣做好選邊站的準備了嗎?

近期最受到關注的議題莫過於俄烏危機,俄羅斯入侵的行為不僅威脅了烏克蘭的主權,也延伸衝擊了全世界的地緣政治秩序。許多人以此類比台灣與中國的關係,擔憂是否「今日烏克蘭,明日台灣」?夾在美國與中國兩大強國之間,台灣如何明哲保身,甚至成為無法輕易攻擊的存在?

2022-03-03 12:34:00

面臨地緣政治風險,台灣農業經貿該如何走?

面臨地緣政治風險,台灣農業經貿該如何走?

台灣以盛產各樣水果為傲,有「水果王國」之稱。但近年來台灣農產品受到中國以檢疫出害蟲、COVID-19 病毒為由,禁止進口,造成農民減少一大外銷管道。當兩岸貿易風險再現,台灣農民該如何自處?政府在農業政策規劃上,該如何長遠佈局?《台美 21 世紀貿易倡議》能帶來機會嗎?

2022-07-26 11:30:00

時間標記

EPEPISODE #旭沙龍-張育寧時間

EP #
邀請已成功寄出