Telstra×Omdia：僅45%的製造企業作好網絡安全準備

電訊和技術公司澳大利亞電訊(Telstra)旗下Telstra International與技術研究公司Omdia合作進行了一項名為《工業4.0安全保障IT-OT融合的挑戰與機會》的全球研究。當中指出，去年製造業有80%公司表示網絡安全事故或漏洞有顯著增加，然而只有45%的企業作好了準備應對IT/OT的安全風險。

傳統氣隙隔離難以提供足夠保障

這次研究調查Omdia訪問了全球逾500名技術高管，了解他們在核心營運中如何管理資訊科技(IT)和營運技術(OT)或實體系統的融合，以及他們如何應對網絡安全挑戰。

隨著製造業利用雲計算、人工智能(AI)和物聯網(IoT)等IT技術進行數碼化轉型，即「工業4.0」，隨之而來的網絡風險也顯著提升。一方面IT與傳統OT之間的融合可以提高運營的規模、彈性和效率，但同時也增加了網絡威脅的攻擊面，當中一些重點行業亦因此而成為包括勒索軟件在內的惡意軟件攻擊(Cyber Exploitation)目標。

曾遭網絡攻擊的製造業廠商指出，相關網絡攻擊導致了企業韌性或可用性問題，並直接令個別公司遭受約20萬美元至200萬美元的損失。當事件影響到企業系統或生產管理時，所帶來的損失亦最為嚴重。

Telstra International全球網絡安全負責人Ganesh Narayanan表示：「我們明白IT與OT之間更緊密的融合，對於企業利用先進技術進行創新製造至關重要，但這也增加了安全漏洞風險，而我們卻發現只有少數公司在保護和防禦網絡風險方面表現成熟。此外，研究還指出分散安全責任可能導至製造業在網絡安全管理上缺乏明確的方向，而面對IT/OT安全風險的責任必須清晰明確，並應整合至指定部門或人員負責，以妥善應對相關挑戰。另外，企業擁有合適的專業人員以及建立以安全爲本的文化亦同樣重要，不然就會阻礙企業作好準備，增加技術上的挑戰。」

Narayanan續指，製造業和其他工業一向依賴氣隙隔離(Air gapping)進行安全保護，即一般OT系統與企業IT系統分隔，以防止外部安全威脅。隨著IT/OT融合，這種方法顯著擴大了威脅面，因此已不合時宜。

他稱：「儘管企業必須先解決風險以釋放其潛力，但IT和OT的融合確實能為各行各業創造巨大價值。企業應優先考慮六個核心領域的IT/OT和IoT安全，分別為：協作和規劃、戰略制定、增強技術專長、責任分配和問責、利用合適工具以及通過標準以加快準備。」

Omdia高級首席分析師Adam Etherington表示：「我們的研究揭示了關鍵攻擊向量(vectors)和經驗教訓，並為所有負責IT和OT的管理人員提供了及時的建議。對於綠地(Greenfield)和棕地(Brownfield)製造系統設計和優化時，IT和OT更緊密的連接是必不可少。創新、可用性、安全性和保安性的階段性改進，要求企業利用雲計算、物聯網、人工智能和私有網絡，並透過IT/OT融合，實現相關技術。然而，大多數企業在傳統的安全控制、企業政策和文化方面都未能跟上步伐，因而遭到停機和安全事件所帶來的沉重代價。亦因為任何影響營運的資料泄漏或安全事故都會造成巨大的停機成本，企業更應要好好了解其中原因，並主動修補。」