《AUTOMATION TODAY季刊》第82期 | 精選文章

根據NIST最佳實務在製造業中實施網路安全

在技術驅動的世界保護IT和OT系統的實用指南。

貴組織有多重視業務策略中的網路安全？

第9版《智慧製造現況報告》顯示，網路安全在企業成長障礙中排名第三，首次躋身前五。從此結果來看，企業明顯需要改善IT和OT系統的網路安全整合作業。製造商也已經將技術投資增加30%，以應對網路犯罪的風險，其中優先考慮的是提高人員技能並雇用熟練的員工。

此外，2024年Fortinet《營運技術和網路安全狀況報告》指出，有73%的OT專業人員的OT系統遭受某種形式的入侵。與前一年的49%相比明顯增長。所有跡象都表明，網路安全意識和行動的需求勢必會增加，以降低網路攻擊的風險。

透過NIST網路安全框架解決網路安全問題

為了因應這些挑戰，美國國家標準暨技術研究院(NIST)開發網路安全框架，針對管理網路安全風險提出結構化的方法。NIST於2014年首次推出該安全框架來支援關鍵基礎設施，今年發佈第2.0版，目標是擴大用例，適用於各組織。

NIST框架有六個部分——辨識、保護、偵測、治理、回應和復原。NIST表示，前四點都應該持續執行，剩下的兩點回應和恢復—則為預備方案，在網路安全事件發生時實施。

這些基本措施指引企業朝著正確的方向發展，並為他們解決網路安全威脅的任務提供一個起點。

隨著產業和威脅情勢快速發展，NIST框架導入一些實務方法，根據製造商的風險偏好簡化網路安全旅程。

以NIST框架建立網路安全第一的心態

重視網路安全的組織文化不會在一夜之間形成。然而，只要有正確的心態和指導，便能夠加以實現。以下是參考NIST框架的入門指南。

Open All

盤點貴組織所擁有的資產和風險。對IT和OT資產進行完整盤點，包括資料、硬體、軟體、系統、設施、服務，甚至涉及的人員，以及供應商和來自外部之任何相關風險。然後評估並找出其中每一個潛在的網路安全風險和漏洞。

接下來進行落差分析。將貴組織目前的網路安全措施與NIST網路安全框架核心(CFC)進行比較，找出落差所在，並制定彌合這些落差需要採取的步驟。組織應設法改進政策、計畫、流程、程序和實務工作，同時牢記NIST CFC框架下的其他職能。

建立清晰的治理結構。明確定義角色和職責，包括建立網路安全治理團隊。將網路安全納入組織更全面的企業風險管理(ERM)策略時，治理至關重要，因為這是讓整個組織在制定和執行網路安全策略時保持一致的真相來源。

制定政策：透過治理討論，制定與NIST CSF一致的網路安全政策和程序，並確保能夠在整個組織中執行。有了明確的角色和責任，執行政策應該是一個無縫的過程。

為製造商提供端到端的網路安全支援

新技術也讓網路安全風險不斷擴大，因此管理這些風險必須是一個持續的過程。無論組織位於網路安全之旅的哪一個階段，總會有改進的空間。

洛克威爾自動化可以幫助製造商與NIST CSF保持一致，並整合正確的專業知識、技術和工具來實現合規性。使用NIST框架保護OT網路還可以更快因應未來的法規，如歐盟資安韌性法與機械法(EU) 2023/1230。

洛克威爾自動化的工業網路安全服務：

全方位的策略
針對企業IT和OT環境，我們為各類環境提供更安全、更有韌性的產品、服務和解決方案。
治理與結構
網路安全風險是我們整體企業風險管理計畫的一部分，由資訊長(CIO)和資安長(CISO)等安全負責人主導，並由董事會監督。
深度防禦
所有外圍控制、網路型控制和端點保護都是結合人類的專業和機器的智慧來進行管理，因此任何措施都需經過審查。
事件回應
由全天候的SOC負責監控和偵測事件，資安事件應變小組則負責根據嚴重程度處理事件。該專業團隊將立即優先處理某些事件，並根據任何特定事件的性質、程度和影響與客戶密切合作。
員工訓練
我們定期實施安全訓練和網路釣魚評估，確保員工不僅了解網路安全的最佳實務，而且能夠擔任組織的「人工防火牆」。

最終每個組織的安全都要看準備的程度。企業若遵守知名的合規標準，並與擁有適當專業的合作夥伴合作，即可始終擁有最佳解決方案，讓他們免受可能嚴重影響企業利潤的高昂網路攻擊，讓營運無後顧之憂。

改善組織的網路安全實務永遠不嫌太早或太晚！由此開始。