您可閱讀 OT 資料革命系列專文,以獲得更多資訊:
自 COVID-19 疫情爆發以來,數位轉型的腳步開始大幅加快。同時,企業也逐漸意識到,在這個新數位時代,唯有妥善控制與管理現場 OT 資料,他們才能領先群倫。因此,想在新時代中站穩腳步,並且保持領先地位,IT 和 OT 部門的緊密協作必不可缺,如此方能全盤控制 OT 資料。能否成功整合 IT/OT 網路,已然成為衡量企業未來能否持續成長的關鍵指標之一。IT/OT 整合固然重要,但有個主要障礙,卻一直將許多企業擋在門外:網路安全。根據 IDC 進行的一項調查,企業在 IT/OT 整合方面進展甚微,因為他們擔心網路安全會因而受到影響。
網路安全的重要性聽起來有點老生常談,誰會不知道呢?然而,經過進一步檢視,您會發現 IT 將網路安全放在首位,但 OT 卻並非如此。近年來,工業數位轉型(Industrial DX)已將 OT 從各自獨立的 Intranet 小池塘,推向更廣闊的 Internet 大海。而 Internet 連接背後,則潛藏著大量的威脅,使得網路安全成為 OT 世界須立即解決的迫切危機。為了協助企業避開威脅,在 Internet 汪洋中安全前行,Moxa 與馬來西亞工業數位解決方案供應商和 IIoT 專案長期合作夥伴 YNY Technology 攜手合作,共同找出企業須儘快解決的幾個基本問題,以便強化控制系統,進而確保網路安全。本文將三個常見的問題(FAQ),與問題背後的問題(QBQ),亦即反向問題,進行綜合分析,以協助您解決基本問題,並強化網路安全策略。
FAQ 1 與 QBQ 1
「該由誰負責這個網路安全專案?」vs.「網路安全策略中,最薄弱的環節在哪裡?」
對於企業而言,該由誰負責網路安全專案,是個困難的抉擇。雖然這個問題現在歸 OT 部門管轄,但過去一直都是 IT 部門的核心任務。OT 人員可能會爭辯說,他們未經適當訓練,也欠缺經驗,無法處理網路安全問題;IT 人員則認為自己不熟悉 OT 設備,可能會影響整體系統運作。這兩個部門對網路安全和 OT 運作,確實都有不足之處,使得該指派誰管理專案,成了一個兩難的問題。僅以經驗為依據來劃分責任並不可行。因此,我們建議客戶改用「優先找出問題」的方法。與其問「誰有經驗,該由誰負責?」,不如先從風險和安全漏洞評估開始,亦即透過客觀評估,來找出潛在的風險,例如未列管或高風險的 OT 設備、過時的軟體或服務、人為錯誤造成的管理漏洞等等。完成評估後,OT 和 IT 部門便可設定明確目標,以便並肩協作,共同解決問題。
FAQ 2 vs. QBQ 2
「投資報酬率(ROI)是多少?」vs.「不作為成本(COI)是多少?」
企業考慮購買 OT 新設備時,投資報酬率是關鍵指標。然而,如果僅以 ROI 來衡量網路安全的成本和效益,結果(即高層主導的投資)往往令人大失所望。這必須從網路安全的特性說起。網路安全的首要考量是降低風險,因此不應將其視為帶動成長的「投資」。因此,企業該問的問題是:「如果現在不採取行動,最壞的狀況是什麼?」,我們將它稱為不作為成本(COI)。只要牽涉到網路安全,不採取行動的風險,通常比預期大很多[1]。透過 COI,企業可以從更實際的角度,來檢視潛在網路安全風險的影響,進而排列專案項目的優先順序,以加快作出決策。
FAQ 3 vs. QBQ 3
「最安全的解決方案是什麼?」vs.「最合適的解決方案是什麼?」
解決上面兩個問題後,也就是找出網路安全漏洞,並確定優先處理順序,您還需進一步評估專案、流程、系統或工具。現有的網路安全方法、工具或服務,大多從 IT 角度設計的,不一定適用於 OT 部署。舉例而言,Moxa 一家東南亞客戶收到 IT 部門的建議,也就是在電腦和現場人機介面(HMI)上啟用螢幕保護鎖定功能,以防止設備遭到駭客入侵。然而,這個適合 IT 環境的解決方案,並未考慮到機器需立即對 OT 環境中的異常現像作出回應。比方說,如果某個站點出現異常,則需在幾毫秒內快速回應,重新取得系統控制權,否則後果不堪設想。如果花太多時間等待維運人員輸入正確密碼,可能會造成巨大的經濟損失,甚或危及生命安全。因此,在選擇網路安全解決方案時,最昂貴或最知名的解決方案,不一定是最好的解決方案。重點在於,根據您的需求,選擇合適的解決方案。
「網路安全不僅是技術問題,也是商業問題。」近年來,工業環境中發生了多起網路安全攻擊事件,為什麼網路安全是許多企業的最擔心的問題,不言自明。將常見的 FAQ 轉為 QBQ,可為網路安全策略奠定穩固的基礎,以便做出最合適的網路安全策略。
想深入了解 OT 資料的奧祕嗎?請收聽 OT Data Next: