網路安全供應商Fortinet指出,重要基礎設施機構所發生的產業安全事件,有將近80%都是由非蓄意的內在問題所造成,例如人為因素的軟體組態錯誤,或是失效的網路協定所導致。

重要基礎設施的產業有其特殊性,例如水電瓦斯等公共事業、運輸業和天然資源的生產商,他們與所服務的社區和經濟體息息相關。發生網路攻擊事件時,共同面對的不僅僅是直接造成的損害,也因其營業規模而必須處理更為龐大複雜的事件後果。根據市調公司ABI Research的預估,亞太地區在網路安全架構的支出,將在2020年達到220億美元。

Fortinet台灣區技術總監劉乙指出:「各個產業的企業組織,現今都面臨著不斷演變的威脅情勢和日益增加的壓力,迫使他們必須為長期的永續性重新思考安全防護的策略。一個更為全面的防護方法是必要的,如此才能因應蓄意的目標式攻擊,以及內部的人為錯誤。要解決工業控制系統(industrial control systems,ICS)的安全問題,需要一個解決方案能統合目前營運科技(operational technology,OT) 最佳的網路安全功能,而且充份理解ICS的流程和協定。

用來管理和運行水力發電大壩、石油和天然氣公司的設備與科技,傳統上並未設計和遠端或公共網路相連接;這些系統基本上是封閉的,而且實體的存取也受到限制,因此資訊安全並不是最優先的考量。劉乙進一步解釋:「然而,隨著工業4.0趨勢的興起,這些系統現在必須成為互相連通的環境。開放標準的迅速普及和現成軟、硬體的採用,同時也增加了它們本身的脆弱性。這意味著工業控制系統現在有更廣的面向可能遭受攻擊。」

由於企業組織無法預測每一個安全威脅,因此必須專注在他們可控制的範疇。Fortinet日前提出了10大原則,能協助企業評估他們在營運科技上的安全風險:

  1. 最重要的第一步是──找出需要立即保護的部份。

  2. 定義管理許可或存取控制的協定--大多數的系統之前都是封閉的,而現在資訊科技(IT)和營運科技已經相互連通,他們必須有最佳的方法讓營運科技具備安全性。此外,決定授權使用者適當的權限,和封阻未授權使用者的存取權一樣重要。

  3. 定期更新操作系統的軟、硬體--有些軟、硬體系統推出的時間,遠在網路安全不斷發展之前,企業組織必須確保它們擁有現代化標準的防禦能力,例如防毒軟體或威脅掃瞄技術。

  4. 執行企業定期常態的更新和修補檔案--儘管大多數此類的操作,都無法承受修補檔案時造成停機與相關成本的耗費,然而延遲更新卻可能帶來更多的安全漏洞。

  5. 找出不安全的IP遙測裝置,例如感應器和壓力表--在這些裝置上的數據可以被操縱,進而影響整個系統的安全和穩定性。

  6. 採用最佳的現代化程式撰寫方法--使用嵌入式和常見的客製化撰寫軟體,卻未留意採用建議的安全技術,往往讓營運科技系統的門戶大開遭受攻擊。

  7. 堅守標準程序記錄事件--企業組織若能建立一套程序來記錄和報告系統事件,就能經常使用這些資料來偵測違法行為,並採取安全措施。

  8. 管理元件製造商和供應鏈--如果沒有適當的監督和管理,設備可能會受影響,即使是尚未安裝使用。

  9. 實施網路分區--許多企業組織仍然尚未將網路劃分為功能性的區段(仍舊全部互通)。沒有適當的分區,受感染的資料和應用程式會一再地從一個區段影響至另一個區段,突破外圍防禦的攻擊者則可輕易地在網路中移動而不會被發現。

  10. 準備好營運回復計劃--若不幸遭遇災難事件,每個企業組織都需要一個文件化的程序,用以評估損害,修復系統和機器,並且儘快恢復運作。定期的安全演習也能協助操作人員在最需要的時候,快速有效地執行回復程序。