在 2025 年 3 月 28 日的 2025 OT 資安年會總結座談中,主辦單位資安人邀請了國際自動化協會臺灣分會會長林上智擔任主持人,並與三位業界專家展開深度對話:
泓德能源科技股份有限公司資深工程師 江妤晴
台塑新智能科技股份有限公司研發工程師 黃正偉
加雲聯網股份有限公司 Cyber Innovation Lead 劉俊瑋
與會專家從實務案例、政策角色分工到未來技術趨勢三大維度,深入剖析產業現況,並提出具體可行的專業建議及洞見。以下是「借鏡智慧電網經驗建構 OT 資安防護體系」專家座談會的關鍵議題與行動建議整理。
議題一、智慧電網成功案例與當前挑戰?
【關鍵挑戰】
經費與時間的重大投入:在複雜的OT環境中整合老舊設備與新系統(如升級至支援加密功能的PLC),或重新設計隔離網路架構,都需要可觀的資源投入。尤其在運作窗口極為有限且不允許長時間停機的關鍵基礎設施中,這類改造在初期階段通常代表著龐大的投資成本。
專業人才短缺:OT網路安全領域需要同時具備工控技術與資安專業的跨領域人才。然而,當前大多數電力系統運維團隊雖具備豐富的工控經驗,卻缺乏工業控制系統資安防護的實戰經驗與專業知識。
【專家建議】
在人力資源發展方面,建議優先強化現有OT人員的資安基礎能力,如鼓勵取得ISA/IEC 62443個人證照及完成相關基礎課程。同時,可透過ISA/IEC 62443-2-4標準驗證建立完善的資安管理流程,並藉由 ISA/IEC 62443-3-3標準認證實施系統安全功能,從而有效降低整體營運技術環境的資安風險。這種系統性的人才培育與標準認證策略,將有助於組織建立更具韌性的資安防護體系。
進程上,則可以採用「分階段合規」的做法,透過風險評估先聚焦高風險區域,如:聚焦高風險的智慧電網調度中心後,再逐步擴展至其他區域。部分低風險區域也可利用補償性控制措施,以降低硬體替換成本。
延伸閱讀 [ISA/IEC 62443 Cybersecurity Certificate Program 網路安全個人證照課程簡介]
議題二、政策與企業角色的分工
【關鍵挑戰】
我國現行智慧電網資安法規的強制性規範尚有提升空間,導致企業對於主動符合ISA/IEC 62443等國際標準的誘因較為有限。這使得法規合規與實際場域網路安全更新之間常出現落差。此外,OT領域專案在政府單位審查過程中,有時面臨專業理解差異的挑戰。建議可考慮完善相關法規框架,並加強各方對工控資安特性的認識,以促進產業資安韌性的整體提升。
【專家建議】
公私部門應合作推動產業資安標準落實,將ISA/IEC 62443逐步納入招標規範與法規要求,同時提供政府補助,鼓勵關鍵基礎設施業者強化防護。建立資安情資共享平台促進跨行業交流,並系統性辦理教育訓練提升專業能力。這些措施能使政策方向明確,有效接軌國際標準,透過與國際標準組織保持溝通,確保政策與時俱進。
在此合作模式中,政府提供明確方向與必要資源,企業負責落實執行並提供實務回饋,形成推動OT資安落實的雙核心機制,創造互利共贏的資安生態系統。
議題三、未來發展與前瞻技術
【關鍵挑戰】
隨著工業物聯網與雲地混合架構演進,與會專家普遍關注雲端應用發展,尤其是虛擬電廠(VPP)面臨的資安威脅、跨廠商設備互通性及法規適應性挑戰。VPP系統中的家用逆變器、智慧電表等終端設備均可能成為攻擊跳板或直接目標。當前廠商面臨的重大課題是如何有效整合安全設計(Secure by Design)、軟體物料清單(SBOM)管理、設備可視化管理及AI威脅與異常檢測等先進機制。
【專家建議】
VPP架構中雲端與現場設備間的跨層面技術協作整合非常重要。除了雲端服務提供商需開發針對OT環境的原生防護功能外,整體分散式能源架構應實施 ISA/IEC 62443 標準中的區域與通道 (Zone-Conduit) 模型,有效縮減攻擊面,防止單一設備遭入侵而影響整體系統運作。此外,政府示範場域的政策支持與補助扮演關鍵推動角色,促進跨層面協作。數位孿生(Digital Twins)技術的應用也可提供額外的系統模擬與安全評估價值。
本次座談會引發了許多深入的討論,還有更多值得探索的主題。若您有其他關於與高階管理團隊對談投資OT資安轉型的想法或策略,歡迎隨時與ISA Taiwan Section團隊交流分享!我們期待持續與您就這些重要議題進行對話。
發佈留言