全方位整合与自动化网路资安领导厂商Fortinet公司今（26）日发布《2023年OT与网路资安现况调查报告》（2023 State of Operational Technology and Cybersecurity Report），针对台湾及全球570位营运技术（OT）专业人员进行调查结果显示，多数企业组织仍在过去12个月内遭到骇客入侵。值得注意的是，高达95%的OT组织预计在未来12个月内，将安全管理工作交由资安长（CISO）负责，让资安管理的权责划分更加明确清楚。

仅有约一成的 OT 组织认为内部的安全防护成熟度是属於「高度成熟」的第 4 级，显示 OT 专业人员的资安意识有所提升

Fortinet台湾区总经理吴章铭表示：「在台湾，制造业等仰赖OT的产业近年来不仅在工业4.0时代与智慧工厂的推动下快速转型，更持续於全球半导体等重点供应链扮演要角，这也意味着业者是否具备足够的资安韧性，将成为台湾强化产业竞争力的核心关键。」

根据Fortinet最新调查显示，虽然OT企业组织的资安防护已初见成效，但仍有不少改善空间。因此，建议IT与资安团队应增加对OT环境的熟悉度，并采取多项措施来强化防御能量，像是导入零信任机制、加强资安意识培训、采用整合与自动化的网路安全平台等，以化解骇客威胁带来的资安危机。」

依该报告提出的4大发现，包括：

一、 骇客威胁持续猖獗，多数OT组织仍成网路犯罪者重点攻击目标：

随着IT与OT环境迈向高度整合，企业组织皆致力於强化资安防护，以应对日益严峻的骇客威胁。然而，Fortinet调查显示，虽然过去12个月内未曾经历任何网路安全攻击的企业较去年成长近2成，但仍有高达75%的OT组织表示，至少遭到骇客入侵一次。此外，利用恶意软体（56%）及网路钓鱼（49%）所发动的入侵行动，持续成为OT环境最常见的资安事件类型，更有超过3成的组织表示，曾在过去12个月内沦为勒索软体的攻击对象。

二、 OT组织高估自身资安成熟度，精准掌握内部安全防御能量成挑战：

除了成为骇客锁定的重点攻击目标，针对智慧制造系统、关键基础设施等OT场域资安成熟度的自我评估，也是企业组织近来面临的困境之一。目前仅有约1成的OT组织认为内部的安全防护成熟度是属於「高度成熟」的第四级，较去年减少7%，显示OT专业人员的资安意识与整体思维有所提升，并运用更加精准有效的工具来掌握自身的安全防御能量。

在此同时，逾3成（32%）的OT组织指出，当资安攻击事件发生时，IT和OT系统皆会受到影响，相比去年增长超过1成。

三、 近8成OT组织拥有逾百台智慧连网装置，资安风险与威胁更甚以往：

Fortinet数据显示，近8成企业组织的OT环境内设有逾百台具备IP连网功能的OT机台与设备，凸显日益扩大的受攻击面与网路威胁，对於资安防护团队而言，是相当艰钜的挑战。此外，有超过3/4的OT专业人员表示，部署网路安全解决方案有助於强化营运生产力，尤其是提升效率（67%）及灵活性（68%）等方面。

不过，当解决方案的类型与数量逐渐增加，企业如何在高度融合的IT及OT环境，落实统一的安全防护策略与措施，也变得愈发困难。而OT环境系统逐渐老化的问题，更是让资安人员面临的风险加剧，超过7成的组织指出，其工业控制系统（ICS）的平均使用时长已达6~10年。

四、 近全数OT组织安全管理工作将交棒资安长，以明确权责划分强化资安治理成熟度：

面对资安人才与相关技能的缺乏，以及资安专业人员招募不易的重大挑战，多数的OT企业组织仍将「资讯安全」列为优先项目。根据Fortinet调查，将近全数（95%）的企业计画在未来12个月内将OT场域的安全管理工作交由资安长负责，以取代过去主掌相关业务的营运主管或团队。

除此之外，企业内部的OT资安管理人员现在也多半改由IT高阶安全主管来担任，而非产品管理部门，显示OT企业组织资安策略的核心决策权，正在从营运团队转移至其他部门领导者，且多数皆是交棒给资安长或安全长（CSO）。

当OT产业进入工业4.0 与智慧制造的全新阶段，如何建立全方位的资安防御策略，并确保关键供应链营运不中断，成为台湾不论规模大小的企业近年来在OT资安防护面临的重要课题。面对与日俱增的资安风险，Fortinet建议企业组织应善用「零信任（Zero Trust）」机制，以落实完整的数位资产盘点与分割，并藉由持续性的验证，确保只有获得信任的使用者、设备或应用程式得以存取内部的关键机敏资讯。

企业组织同时也应当透过网路安全培训与认证，提升员工与营运团队的防御思维，更可以开设基础的资安意识训练课程，让远距办公的工作者及身处相同网路环境的家人，从安全防护弱点进化为企业组织最强大的防线。

资安技术部署方面，Fortinet则建议企业组织建立高整合性与自动化的OT网路安全平台，并与拥有广泛解决方案组合的供应商合作。藉由 OT 安全营运中心（SOC）等解决方案，完成从基本的资产管理、网路分段到进阶的威胁回应，助企业资安长在IT与OT环境高度融合的环境下，轻松简化资安防御复杂度。而企业组织亦可透过网路存取控制（NAC），保护连线至企业网路的各项关键数位资产，包含工业控制系统、资料搜集与监控系统（SCADA）、物联网（IoT）装置及自携设备（BYOD）等，进而为OT环境提供持续且完整的可视性、控制与自动回应，打造全方位OT资安防护网，全面守护企业网路安全。