正如去年廣泛報導的Clorox事件,IT基礎架構遭破壞可能會對工業組織帶來高昂的代價。
儘管之前已注入5億美元的IT投資,但這個家用清潔產品巨頭還是遭遇破產。工廠營運中斷數週,導致全國範圍內的產品短缺,銷售額下降3.56億美元(超過25%),股價下跌5%,市場估值估計損失30億美元。 1 2 3
成本上升推動IT/OT融合和現代化
事實上,不斷上升的停機成本和嚴重財務損失的風險,促使各大產業領導者和首席資訊安全長不得不重新檢視,該如何正確保護其資訊技術(IT)和營運技術(OT)系統。
美國證券交易委員會等監督機構的監管審查力度加大,也加劇成本和經濟處罰的罰則,現在要求上市公司在4天內回報重大事件。
這就是為什麼各大工業首席資訊安全長在2024年不斷努力提高對IT和OT營運的可見性和控制,更能夠評估、追蹤和監控資產和營運,並加強其組織抵禦網路威脅的安全性。
洛克威爾自動化和Cyentia Institute於最近一份報告中分析,有80%以上的工業營運安全事件始於IT系統洩漏。然後,攻擊者可以透過轉移到連線的SCADA和其他OT系統來擾亂OT的運作。
針對其中潛在的重大影響,工業組織認為IT/OT融合帶來更強的連接能力,將使這兩個環境都面臨風險。其中共同的挑戰,如不斷增長的攻擊面和持續不斷的網路安全技術斷層,只會加劇問題。
與此同時,惡意行為者也變得越來越老練。他們可以利用連接到IT網路且未修補的舊有OT系統。他們發現這樣可以更輕易滲透到與IT保護級別不同的OT環境中。從那裡,他們還可以跳到IT系統竊取資料,發起勒索軟體攻擊,並造成其他類型的破壞。
好消息是,連接IT和OT這兩個世界後,將可以獲得兩者整合的好處,並克服重大網路安全挑戰。由於這是一項複雜的工作,工業組織應考慮與洛克威爾自動化這類的專業公司合作,以提升急迫的網路安全。
IT/OT融合可提升安全性和效能
從策略角度來看,整合IT和OT營運可以洞悉業務和工廠營運的狀況,讓安全團隊能夠找出IT/OT資產,並評估組織在防禦中的落差。了解他們擁有哪些資產和漏洞,將有助於首席資訊安全長進一步優先執行必要的網路安全措施。
OT系統與IT不同,主要是透過感測器向外發送資料,而這些感測器會產生大量的獨特資料。將物聯網(IoT)感測器整合到OT設備中,可以將無線資料傳輸到中央伺服器進行分析,加強操作自主權、準確性和效率。此反饋迴路還能改進監控、維護工作和正常運作時間。現今的感測器可測量各種參數,如燃油和水壓,有助於持續監測和進行更智慧的工業操作。
整合IT和OT網路安全還可協助網路安全團隊更易評估IT和OT環境中的各類裝置,進而監控所有系統和裝置的資料,來找到攻擊的跡象。
除了簡化安全性,整合IT/OT系統、流程和團隊還可以提高擴充的效率和生產力,並淘汰冗餘設備來節省成本。工業組織可以利用人工智慧/機器學習工具來檢測異常情況、將威脅情報的收集工作自動化,並讓提供安全遙測的基礎設施正常運作,進一步提高營運效率。
自動化、IIoT和AI的含義
智慧製造的興起帶動2024年IT/OT的整合,而智慧製造中的感測器和連接系統,如無線感測器和執行器網路,正整合到工業環境的管理中,如水處理、電力和製造的環境。在工業環境中整合自動化、通訊和網路通常可稱為智慧工廠。有了這類智慧製造,加上雲端運算、工業物聯網(IIoT)、人工智慧(AI)和機器學習(ML),為各類工業組織開啟一個充滿創新機會的精彩世界。例如,將實體機器與數位虛擬機器整合在一起的數位分身,預計到2027年將發展成一個735億美元的市場。4
隨著智慧工廠的激增,網路安全風險也將隨之增加。為保護OT運作免於日益增加的威脅,則需要加強IT和OT團隊之間的合作,並實施全面且遍及企業的IT/OT網路安全措施。
安全融合:工業網路安全路線圖
首席資訊安全長必須聚焦在建立主動防禦,以更佳保護融合的IT/OT營運作業。此外,他們還應考慮以下事項:
- 針對風險導向方法採用NIST網路安全架構
- 加強IT和OT領域的合作,以盡可能減少部署網路安全措施時對廠區造成干擾
- 在不同人員之間建立更大的信任感,包括IT安全部門和製造廠營運部門,甚至是企業領導人和其他相關利害關係人
這些都是首席資訊安全長可以用來全面預防工業組織免受網路威脅的最佳實務。
IT/OT整合的最佳實務
在融合的IT/OT環境中進行準備和因應工作時,重要的是要考量以下因素:
- 對各IT和OT裝置、資產和網路一目了然
- 一旦您能夠對各IT和OT設備一目了然,執行威脅保護最佳實務工作(如全天候、即時資產盤點和持續監控)就有助於降低風險
- 事件回應計畫是另一個關鍵要素,可以幫助您加快復原速度,並將事件或網路攻擊的影響降至最低。
IT/OT整合是一個複雜、多面向的過程,因此最明智的做法是現在就開始進行,方可從融合中獲得最大的利益。與洛克威爾自動化等經驗豐富的合作夥伴合作,也可以幫助您制定有效的計畫,彌合IT和OT安全態勢中的任何差距,優化性能和效率。
洛克威爾自動化隨時準備與首席資訊安全長合作,為其組織進行IT/OT融合工作。立即聯絡我們進行免費諮詢。
1 Clorox expects double-digit sales drop following cyberattack. DatabreachToday. https://www.databreachtoday.com/clorox-expects-double-digit-sales-drop-following-cyberattack-a-23241?highlight=true
2 Barsky, N. (2023, October 6). Clorox crisis shows cyber risk’s harsh business downside. Forbes. https://www.forbes.com/sites/noahbarsky/2023/10/06/clorox-crisis-shows-cyber-risks-harsh-business-downside/?sh=3bfe18c1632b
3 Scimeca, D. (2023, December 1). Clorox cyberattack cost $356 million. Industry Week. https://www.industryweek.com/technology-and-iiot/article/21274431/the-clorox-co-recovers-from-severe-cyberattack
4 Argolini, R., Bonalumi, F., Deichmann, J., & Pellegrinelli, S. (2023, July 31). Digital twins: The key to smart product development. McKinsey & Company. https://www.mckinsey.com/industries/industrials-and-electronics/our-insights/digital-twins-the-key-to-smart-product-development
已發佈 2024年4月17日
