2025年9月19日報導 | ISA 臺灣分會
超越單一防線的思維:台灣的關鍵基礎設施 OT 資安對談
ISA 臺灣分會很高興能有此次機會,安排 2021 年的 ISA President, Steve Mustard, 與中華民國數位發展部資通安全署的長官們進行一場深入且富有啟發性的交流。
在會議中,資通安全署蔡福隆署長開宗明義地指出,台灣的關鍵基礎設施(CI)無時無刻不處於外部威脅之下,這也再次證明了資安防護的急迫性與重要性。Steve 表示深感榮幸能分享他在全球各地拜訪關鍵基礎設施所累積的經驗與觀察,並與台灣的資安社群共同探討,如何在有限的資源下,建立起堅韌且有效的資安防護網。
OT 場域:標準化的挑戰與契機
在交流中,雙方共同探討了一個核心議題:OT(營運技術)場域的「多樣性」。不同於相對標準化的 IT 環境,OT 環境可以說是「萬國博覽會」:從傳統的機電設備、老舊的控制器、到智慧製造、或最新的智慧 AIoT 設備,其複雜性與差異性極大。人才背景更是五花八門,有人精通機械,有人擅長電力,但能同時掌握 OT、功能安全與資安專業的人才卻鳳毛麟角。這也讓資安署長官們對於如何找到共通資源、並以有限的資源進行有效的資安防護措施建置與研發,感到相當棘手。
而這在在正是國際自動化協會(ISA)及其專家小組開發撰寫 ISA/IEC 62443 系列標準存在的價值。
ISA/IEC 62443 這套標準不僅是技術規範,更是一套成熟的資安管理框架,其核心在於提供一個跨行業、跨技術的「共通語言」。ISA/IEC 62443 系列標準涵蓋了從人員、流程、技術、產品到系統的方方面面,協助企業在複雜的 OT 環境中,找到一套可遵循、可評估、可驗證的最佳實踐路徑。這套標準是數千名全球專家共同協作的成果,它不僅能夠指導工程師如何設計安全的系統,也能幫助管理者評估風險並制定合理的資安策略。透過 ISA 的培訓和認證,企業也能建立起一支真正具備 OT 資安專業知識的團隊,從根本上解決人才短缺的問題。
瑞士乳酪的啟示:沒有完美的單一防線
Steve 在會議中與長官們分享了「瑞士乳酪理論」(Swiss Cheese Theory)。這個理論比喻,任何單一的防護措施都像一片瑞士乳酪,上面佈滿了孔洞(即漏洞或弱點)。當所有「乳酪片」上的孔洞不幸地連成一線時,威脅便會成功穿透所有防線。
這也帶出一個重要的觀念:我們不能奢望建立一道「滴水不漏」的完美防線,因為那既不現實也不經濟。相反,我們應該從「韌性」(Resilience)的角度思考。我強調,在當今的資安環境下,企業不該再問「是否會被攻擊」,而是應該問「被攻擊後,如何最快恢復正常運作」。
因此,回到 ISA/IEC 62443 系列標準的角度,Steve 建議資通安全署與相關單位在規劃時,將重點放在以下幾點:
- 應變計畫(Incident Response Plan):這份計畫不僅要紙上談兵,更應該定期進行演練,確保在壓力下各團隊能協同合作,井然有序地應對攻擊。
- 備份與復原計畫(Backup and Recovery Plan):這是一個機關單位能否從攻擊中迅速站起來的關鍵。確保重要資料與系統都有可靠且最新的備份,並定期測試復原程序。
- 考慮更宏觀的風險評估:全面盤點油、水、電、醫療、交通、金融等關鍵基礎設施的 OT 場域,根據風險評估結果,將有限的資源優先投入到最脆弱或最關鍵的基礎設施。這將有助於台灣從國家層面提升整體資安韌性,而不僅僅是修補個別設施的漏洞。
- 制定國家級政策:推動各關鍵基礎設施的資產擁有者採用類似 ISA/IEC 62443 的通用標準,強化整體供應鏈資安,並建立統一的資安基準線。
資安,一場永無止境的馬拉松
在會議尾聲,Steve 向資通安全署提出一個重要的建議,請政府考慮從「至高視角」來全盤檢視與評估所有關鍵基礎設施的風險,並發展國家級資安政策。
中華民國的關鍵基礎設施分佈在多個領域和部會,每個部會都有其獨特的資安挑戰。若只從單一設施的角度進行資安評估,可能會忽略整體資安生態系中的系統性風險。資通安全署作為國家的資安主管機關,具備獨特的地位與視野,能夠橫向整合各部門的資訊,識別出跨產業的共同漏洞與潛在威脅。
此次與資通安全署的交流非常愉快,雙方都認同,資安並非一項短期的任務,而是一場永無止境的馬拉松。它需要持續的投入、不斷的學習,以及所有利害關係人的一致承諾。
憑藉著台灣在科技與工程領域的卓越實力,只要能將資安思維深度融入 OT 文化之中,並善用 ISA/IEC 62443 等國際標準的框架,台灣的關鍵基礎設施必將能建立起堅實的資安防護體系。這場交流是個美好的開始,ISA 期待未來能有更多機會,與台灣各界機關組織攜手合作,共同面對未來的資安挑戰。
發佈留言