亞太地區的數碼化轉型進展迅速,這不僅反映了數碼原住民人口持續增長,企業日益加深對科技的認識,更顯示了政府將創新和技術視為長期生產力和經濟增長的關鍵支柱。
亞太數位化轉型與再工業化浪潮
中國內地、日本、香港和新加坡等亞太區主要經濟體正紛紛透過再工業化來激發新的增長動能,例如透過採用工業4.0的技術推動製造業和物流業等傳統產業進行轉型,同時推動生物技術和電子汽車等新產業的發展。香港政府亦大力促進規模達100億港元的「新型工業加速計劃」,為從事智能生產及相關策略性產業的重點和初創企業提供配對資助。
物聯網(IoT)、人工智慧(AI)和無線網絡等技術正在重塑傳統的工廠車間、物流中心及零售營運等。傳統機械、工業設備和軟件等的營運技術(OT)過去與資訊技術(IT)分開管理,並保持離線狀態。不過,隨著網絡連接增加以及支援網絡的感測器和設備的出現,IT 與 OT 正在加速融合,未來有望實現無縫資訊流動、提高效率和效能。
IT/OT 的加速融合留下安全漏洞
企業目前普遍對 IT/OT 融合持高度樂觀的態度。根據一份澳大利亞電訊(Telstra)委託技術研究公司Omdia發佈的《工業4.0安全保障 IT-OT融合的挑戰與機會》研究報告指出,85% 的企業期望從融合中獲取龐大的商業利益,包括創新性、可靠性、完整性和收入的增長。近一半 (48%) 的高級主管表示,要更好地連接 IT 和 OT 對於實現業務成果「非常重要」。
另外,CIO Tech Asia 的一項研究發現,90% 在亞太地區的工業組織將把IT/OT 融合列為優先事項。而到2024年底,50% 的工業組織將把邊緣OT 系統的數據與基於雲端的報告和分析集成,從而推動從單一資產視覺到全方位的營運意識。
儘管 IT/OT 融合正在加速,但企業的安全性似乎趕不上進度。具體來說,當系統達到使用壽命 (EOL) 時,就會出現更多創新且先進的 OT 產業解決方案。然而,企業必須克服一些障礙,當中包括獲取技能、管理或合併傳統工業控制系統(ICS)和 資料採集與監視系統(SCADA),以及促進 IT(企業)和 OT(生產/工業)團隊統一協作和流程等。
更緊密互連的系統 從而開啓了威脅媒介
事實上,這些挑戰導致了嚴重的安全隱患。根據 OMDIA 的數據指出,大部分企業(56%)在確保OT安全,包括物聯網和工業物聯網方面的成熟度僅處於基礎或發展中的水平。此外,把大量未加密或不安全的資訊連接到物聯網系統將導致未經授權的存取、提取和利用敏感資料,黑客可以透過這些數據來入侵其他系統。企業通常會遇到的三大物聯網或 OT 相關的網絡威脅,包括勒索軟件和勒索威脅 (64%)、分布式拒絕服務(58%) 以及木馬程式等惡意軟件(58%)。
在這個前題下,管理層表示影響關鍵基礎設施營運的攻擊中當中有 74% 源於 IT。這表明傳統的氣隙方法(在實際或邏輯上將 OT 系統與企業網絡隔離,藉此保護備份資料)不再足以維護網絡安全。我們的研究還表明,80% 的組織最近在 3.5 級非軍事區(DMZ)環境中經歷了安全事故顯著增加,進一步說明了氣隙的漏洞。
企業必須應對安全挑戰,充分利用 IT/OT 融合技術以釋放工業4.0的潛力。我們認為,企業須在以下四個核心領域優先考慮 IT/OT和物聯網安全:
1. 透過加強合作來彌補文化和技能鴻溝: 企業領袖必須集合主管、IT/網絡安全、產品(工程)和 IT(企業)等不同團隊,以規劃正確的整合路徑,而不是僅僅依賴 IT。
2. 制定關於IT/OT和物聯網網絡安全準備的五大支柱策略: 負責 OT 安全的管理人員應與其團隊合作評估安全環境並制定健全的改善策略,保持敏捷和利用系統性的方法執行策略。
3. 充分挖掘行業框架和OT安全工具: 網絡安全主管需要考慮擴展IT安全工具,使其具有OT網絡安全特定功能,包括網絡資產發現、分類、監控、SecOps(事件回應到恢復)的能力。
4. 善用合適的網絡安全合作夥伴: 值得信賴的安全託管服務提供者可協助企業制定全面且度身定制的IT/OT融合和安全策略,幫助縮小技能差距並克服預算的限制。
一直以來,獲得 OT 和 IT 安全方面的正確技能是整合的最大挑戰之一。 OMDIA 研究表明,近四分之三 (73%) 的企業會將 IT 和 OT 安全外包給第三方(完全或半外包形式),而只有 8% 的公司選擇由內部團隊進行安全管理。19% 的企業則表示他們「將主要依賴供應商平台、系統和工具」。
如果政府和企業希望駕馭工業4.0和新產業驅動的新浪潮,便必須解決這些迫在眉睫的IT/OT安全問題,否則透過先進製造推動新產業的願景將難以實現。
(作者為澳大利亞電訊網絡安全首席顧問Jay Gomez 。題為編輯擬定。以上內容純屬作者個人意見,並不代表本網立場。)
Jay 在澳大利亞電訊擔任網絡安全首席顧問,為北亞地區銷售團隊提供支援,並專注發展網絡安全諮詢服務。他擁有超過 28 年的網絡安全管理經驗,更獲得了多個認證,包括CISM、CDPSE等。
Source:ezone.hk