第一項資產:安全與資安

第一項資產:安全與資安

保護人員、環境,以及重要基礎建設是所有人的目標

企業組織在建置資訊化的連線架構,以協助提高生產力、效率與安全時,首先必須考慮到工業資安。不過,隨著產業化經營的連線程度變得越來越高,往往會使資安風險既有的安全問題遭到忽略。

連線能力同時讓企業級IT和工廠級操作技術系統採用一般的網路基礎建設,而且有更多像是整個企業組織進行即時資訊分享與密切合作的機會。不過,連線點越多,實體或數位、內部或外部,以及惡意或無意所造成的資安威脅入口就越多。

對許多製造商和工業營運商而言,工作場所安全是一種多方面的問題。這個問題同時包含機台與製程安全,而且對於保護工作人員,避免生產中斷和實現卓越營運非常重要。不過,許多難題也隨之而來。

LNS Research證明,53%的製造與產業化經營缺少EHS效能資料的即時可見性,專業人員該如何加以修正並改善安全效能?

專業整合安全與資安

傳統上將安全資安視為不同實體,但具有專業和能力的公司及其專家,能夠將兩者間的共通點視為分析和緩解風險的方法。

這些希望降低資安相關安全事件發生機率的製造商和工業營運商,必須開始思考安全與資安彼此間的關聯。

部分頂尖製造商分享了一組深入瞭解的實務─安全與資安的3個C:

文化、法規遵循、資本

文化(行為面):對員工和公司而言,對於風險與安全的行為,包括基本價值、優先順序、態度、動機與信念,兩者應保持一致。這些行為有助於確定公司對安全的接受程度。

法規遵循(程序面)最新的政策和一致的程序,可協助公司實現符合適當安全標準。

資本(技術面)現代的安全技術和技巧,可協助將安全與生產力調整到最佳狀態。

現在企業組織能夠考慮,如何將資安深植到各核心安全的基礎。以下是部分範例:

文化:除了保護智慧財產、製程和實體資產,資安人員必須讓防護安全的系統成為所有工作的核心價值。

因此,EHS、營運及IT團隊之間的進一步密切合作變得更加重要。舉例而言,三個團隊應合作研擬出安全與資安的共同管理目標,並透過工廠區域系統找出關鍵的安全資料需求。最重要的是,公司整體瞭解資安與安全之間的關係非常重要,因為強大的安全文化與所有員工息息相關。

法規遵循:法規遵循作業應符合IEC 61508和61511等安全標準的資安需求。反過來說,資安作業應採用縱深防禦的方法。此外,解決企業組織所有層面的安全相關資安風險也非常重要。

資本:公司應使用包含內建資安功能的安全技術。同樣地,公司也應使用資安技術,以協助防止安全系統遭到入侵,並可在遭到入侵時迅速復原。

瞭解兩者間的密切關係後,公司應同時進行安全與資安風險評估,然後執行可以解決威脅與弱點的公司整體風險管理策略。

接下來的問題:專業人員該怎麼做,才能改善他們連線作業的安全與資安效能?

讓安全與資安更具智慧

洛克威爾自動化擁有結合安全資安的專業知識,可協助企業組織解決其獨特的資安型安全問題。洛克威爾自動化擁有業界最廣泛安全解決方案產品組合之一,安全解決方案囊括評估等安全服務;另外也和合作夥伴聯盟(PartnerNetwork®)的策略聯盟合作夥伴合作(例如Cisco、Panduit及Microsoft),建立可提供包括網路產品、免費工具和資源等完整工業資安服務的一站式商店,可以滿足專業的工業資安需求。

為了建立順暢的連線,洛克威爾自動化的企業聯網採用將機械設備與安全控制結合在單一平台的現代安全技術。相較於固定線路式安全系統,這些系統較不容易受到惱人的關機影響,可以徹底提高生產力與獲利能力。專業人員可以使用企業聯網加快生產速度,並產生有效通訊,而且也會利用安全與作業資料的力量,藉此大幅提升安全法規遵循與效能。

洞察企業聯網

企業聯網可以為裝置和操作狀態、運動監測、錯誤和停止代碼,以及其他受保護的安全系統資料提供存取能力。如果能夠正確且完整擷取並分析大量操作資料,有能力即時瞭解工作人員行為、機械設備法規遵循,以及系統詳細資料的安全人員,便能從單純描述問題發生,變成能夠在第一時間預測和預防事件發生。

專業人員充分利用企業聯網時,可以更深入瞭解風險,在公司整體營運的轉型階段也能將安全與資安納入考量。因此各方面的安全與資安都能有所提升。

無論如何,最重要的是記住企業聯網是一種持續的過程。技術和機會持續變化,永不止歇。公司應注意到這點,持續尋找改善其未來狀態的機會。

更全面的方法

向工作人員提供資訊很重要,但工作人員根據資訊採取行動也很重要。這就是日常作業必須採用安全系統資訊的原因。

例如,日常生產會議應納入分析方法,而且應建立收集、分析和解讀資料的標準程序。有了這些要素,安全專業人員就可以監測和調整企業聯網的所有安全層面,作為持續改善計畫的一部分。這可能包含增加收集的資料量,或是對多個領域設定較高的目標,例如改善可見性、較低的事件發生率以及縮短停機時間等。

優秀且負責的安全專業人員可帶來更多的工作成果,而不只是採取更好的措施;他們可以符合企業安全目標,還會確認安全與資安,以協助保護資料及運作時間、基礎建設和物質供應以及人員及環境。

環境變化持續傾向更強大的連線能力,現在的資安與安全考量可能會有所不足。配合最佳的產業實務並使用最佳工具,製造商與工業營運商便能將安全與資安的知識及管理策略,從企業拓展到工廠層級、甚至到終端裝置。

側欄:

危險入侵已然發生

資安入侵與弱點會導致安全風險發生,這已經不是紙上談兵。已經成為既定事實:

  • 一起對德國煉鋼廠發動的網路攻擊,導致工廠部分停工,而且高爐也無法利用正常方法關閉。這間工廠蒙受「巨大損害」。
  • FDA對醫療裝置製造商和醫療照護機構提出警告,指出特定醫療裝置具有弱點,可能遭受資安入侵。引述的其中一個弱點,是裝置可能遭到惡意程式感染,甚至可能會遭到停用。
  • 一家全球電信集團回報,負責供應和量測用水量的設施可能遭受網路安全入侵。閥門及管道曾因不明原因發生動作,包含PLC受到不當操作。
  • 一起土耳其油管爆炸事件是由駭客造成,他們關閉警報、切斷通訊,並且過度加壓管線中的原油。這起爆炸導致30,000桶石油外漏。

訂閱Automation Today季刊

Rockwell Automation 和合作夥伴提供各種專業知識,可協助您設計、實作並做為您自動化投資的後盾。

訂閱

提供最新的工業自動化與資訊科技趨勢、案例研究與應用