部落格

營運技術(OT)的全新資安規範

有鑑於對工業控制系統(ICS)中廣泛可用的技術倚賴日深，且具連結性的資訊化企業不斷成長，這在本質上增加了資安風險，而這些技術的控制系統供應商和使用者都有隨之而來的責任。

在傳統上，工業控制系統使用專有技術，而且大多數公司通常將其和資訊系統隔離開來。這些系統大多不相容，而且辦公空間使用的商用技術根本不符合控制系統的規定。

近幾十年來的商用技術已有進步，因此在控制系統中採用這些技術可以降低成本，並改善相容性和易用性。也由於這些技術的進步，使系統之間的連線變得更加容易，而且使用者對其需求日益增加。

將企業級IT和工廠級營運技術整合到一個通用基礎建設，可以創造更多改善營運的機會，但如果沒有適當的網路安全習慣，也會讓ICS設備有更多機會遭到網路攻擊。

此類攻擊如果成功，可能會對勞工、環境及產品安全、智慧財產、商譽和生產力造成嚴重的影響。

這些挑戰正在改變ICS供應商和使用者的合作方式，為彼此帶來更多責任。

不幸的是，威脅真的存在。近年來，對控制系統發動的攻擊大幅增加。這不僅是來自民族國家的基礎設施風險，今天的威脅更包含了激進駭客、網路犯罪者和心懷不滿的員工。

完整的網路安全策略包括網路安全衛生──透過資產庫存了解您擁有什麼，以控制實體和數位存取、分割、系統設定和其他動作。它也包括採用NIST CSF，以辨識、保護、偵測、回應，並從網路攻擊中復原。

此一策略也會要求ICS供應商(例如洛克威爾自動化)持續測試產品並檢閱應用程式，以找出產品中的弱點，並進行修復。透過修補程式和版本管理揭露已修復的弱點，有助於防止ICS使用者遭到網路攻擊。

這是有道德素養且完整的網路安全策略中的一部分，可協助驗證我們客戶的資安與安全性。雖然這不算是新鮮事，但近年來日益關注安全性，也更為頻繁地揭露弱點，這還是會讓某些人感到意外。

這對於其他和IT密切合作的人而言似乎再自然不過了，而且也在他們的意料之中。不過對所有人而言，則應該試著去接受這種策略，將其做為支援工業控制系統安全性與資安的明確重點。

如果需要協助

洛克威爾自動化和我們的合作夥伴可以根據網路安全風險管理建置的使用者階段，為使用者提供可擴充的分層協助服務。當您的客戶需要協助時，請使用以下的資源列表:

已發佈 2018年8月1日

Steve Ludwig

Commercial Programs Manager, Safety, Rockwell Automation

聯絡方式:

訂閱洛克威爾自動化電子報，掌握新聞、思惟領導力和最新資訊。