9成OT企業過去一年被駭過!Fortinet資安報告:看不見問題、資安長層級太低成隱憂
網路資安大廠 Fortinet 公布《2022 OT 資安與網路安全現況調查報告》,顯示有多達93% 的營運科技(OT)企業組織,在過去12個月內系統至少被入侵1次,近78%的受訪者更經歷3次甚至更高頻率的資安事件,較去年增加 15%。
Fortinet北亞區總經理陳鴻翔表示,國際企業系統被駭、導致製程停擺的案件層出不窮,國內也有半導體大廠曾因此損失高達70億台幣,聚焦在工業控制系統的OT業者,資安防護能力將是台灣邁向智慧製造的關鍵,不容小覷。
OT 業者面臨的常見入侵手法包括惡意軟體(44%)、網路釣魚(41%)、駭客入侵(39%)與行動裝置的資安漏洞(37%)等,而Fortine在報告中,指出企業資安現況的三大問題:
一、可視化程度過低,有問題也看不見
也就是企業對於系統中的活動掌控度低,就算突然出現異常登入、半夜拖拉大量資料等狀況,公司可能都一無所知。根據報告,今年只有13%的受訪組織實現所有OT活動可視化,其中也只有52%能夠在安全營運中心追蹤所有OT活動。
Fortinet台灣區總經理吳章銘表示,可視化是資安風險評估的第一步,企業需要先監測追蹤所有OT活動,接著將之分門別類管理,確認設備位置、每天在系統中發生哪些事,最後訂立保護機制,在發生問題時及時啟動。
二、安全權責不明,資安長層級不夠高
Fortinet發現在企業組織中,負責工業控制系統的OT和負責計算機、資料網路的IT經常權責不清,吳章銘指出,對OT管理來說,架構的「穩定安全」是最優先的事,最好什麼都不要動,但對IT來說彈性調整更新相當重要,導致雙方溝通出現障礙。
儘管2019年資通安全法通過後,帶起「資安長」設立風潮,感覺可以負責統整管理,但對於資安長的層級並未做明確定義。Fortinet的報告中,只有15%的受訪者表示資安長需要對其組織的OT安全負責,其他則傾向由總監或經理等人員負責。
吳章銘就以自己朋友的經驗為例,他在一間醫院工作,原本擔任資安長,但層級不夠高,根本推不動轉型,後來醫院直接改由副院長接手資安長工作,才進展順利。
「這是比較有魄力的公司才會做的事,若由組長來擔任,完全力不從心。」Fortinet建議拉高資安管理層級,並將權責區分清楚,才能有效推動組織內的安全管理。
三、OT安全成熟度不足,落後國際水準
報告中發現,台灣只有21%的組織達到了第4級,也就是組織可落實協調(Orchestration)與自動化(Automation)的階段。若和其他地區相比,拉丁美洲和亞太地區達到4級的比例高達70%,都擁有更成熟的OT安全維運水準。
不只成熟度不夠,絕大多數組織都使用2至8個不同供應商提供的工業設備,並且有同時100到10,000個設備同時運行,增加維運的複雜度。
吳章銘表示,企業需力求在與最少的供應商合作的情況下整合OT和IT技術,把基礎設施統整,放在單一安全平台集中管理。
可視化、零信任管理,是提高資安關鍵
Fortinet北亞區技術總監劉乙指出,近年廠商對於資安的意識已經有所提升,但還是有客戶會以為自家所謂的「封閉網路」就能阻擋一切攻擊,結果外部人員用手機一掃就可以進去系統,「如今就連核能廠等國防設備都有機會被入侵,何況是你家的工廠?」
除了落實活動可視化外,企業必須做好零信任建設,就算知道IP是員工,也不能相信你,只給你最小限度的權限,按照你的地址、行為等資訊,一步步決定要給多少權限,最後是整合資安工具和不同供應商的工業設備,完整OT安全防護網。
文: 隋昱嬋/ 責任編輯:侯品如
※本文授權轉載自數位時代
瀏覽 698 次
