Fortinet发布《2023年OT与网路资安现况调查报告》（2023 State of Operational Technology and Cybersecurity Report）。报告针对台湾及全球570位营运技术（OT）专业人员进行调查，结果显示，尽管仰赖OT的产业整体防护能量有所提升，但多数的企业组织仍在过去12个月内遭到骇客入侵。值得注意的是，高达九成五的OT组织预计在未来12个月内将安全管理工作交由资安长（CISO）负责，让资安管理的权责划分更加明确清楚。

Fortinet报告：75%的OT企业组织过去12个月内曾遭骇客入侵

Fortinet台湾区总经理吴章铭表示：「在台湾，制造业等仰赖OT的产业近年来不仅在工业4.0时代与智慧工厂的推动下快速转型，更持续於全球半导体等重点供应链扮演要角，这也意味着业者是否具备足够的资安韧性，将成为台湾强化产业竞争力的核心关键。Fortinet的最新调查显示，虽然OT企业组织的资安防护已初见成效，但仍有不少改善空间。因此，建议IT与资安团队应增加对OT环境的熟悉度，并采取多项措施来强化防御能量，像是导入零信任机制、加强资安意识培训、采用整合与自动化的网路安全平台等，以化解骇客威胁带来的资安危机。」

Fortinet《2023年OT与网路资安现况调查报告》的四大发现包括：

一、骇客威胁持续猖獗，多数OT组织仍成网路犯罪者重点攻击目标

随着IT与OT环境迈向高度整合，企业组织皆致力於强化资安防护，以应对日益严峻的骇客威胁。然而，Fortinet调查显示，虽然过去12个月内未曾经历任何网路安全攻击的企业较去年成长近两成，但仍有高达七成五的OT组织表示，至少遭到骇客入侵一次。此外，利用恶意软体（56%）及网路钓鱼（49%）所发动的入侵行动，持续成为OT环境最常见的资安事件类型，更有超过三成的组织表示，曾在过去12个月内沦为勒索软体的攻击对象。

二、OT组织高估自身资安成熟度，精准掌握内部安全防御能量成挑战

除了成为骇客锁定的重点攻击目标，针对智慧制造系统、关键基础设施等OT场域资安成熟度的自我评估，也是企业组织近来面临的困境之一。Fortinet报告发现，仅有约一成的OT组织认为内部的安全防护成熟度是属於「高度成熟」的第4级，较去年减少7%，显示OT专业人员的资安意识与整体思维有所提升，并运用更加精准有效的工具来掌握自身的安全防御能量。在此同时，逾三成（32%）的OT组织指出，当资安攻击事件发生时，IT和OT系统皆会受到影响，相比去年增长超过一成。

三、近八成OT组织拥有逾百台智慧连网装置，资安风险与威胁更甚以往

Fortinet数据显示，近八成企业组织的OT环境内设有逾百台具备IP连网功能的OT机台与设备，凸显日益扩大的受攻击面与网路威胁，对於资安防护团队而言，是相当艰钜的挑战。此外，有超过四分之三的OT专业人员表示，部署网路安全解决方案有助於强化营运生产力，尤其是提升效率（67%）及灵活性（68%）等方面。

不过，当解决方案的类型与数量逐渐增加，企业如何在高度融合的IT及OT环境，落实统一的安全防护策略与措施，也变得愈发困难。而OT环境系统逐渐老化的问题，更是让资安人员面临的风险加剧，超过七成的组织指出，其工业控制系统（ICS）的平均使用时长已达6至10年。

四、近全数OT组织安全管理工作将交棒资安长，以明确权责划分强化资安治理成熟度

面对资安人才与相关技能的缺乏，以及资安专业人员招募不易的重大挑战，多数的OT企业组织仍将「资讯安全」列为优先项目。根据Fortinet调查，将近全数（95%）的企业计画在未来12个月内将OT场域的安全管理工作交由资安长负责，以取代过去主掌相关业务的营运主管或团队。除此之外，企业内部的OT资安管理人员现在也多半改由IT高阶安全主管来担任，而非产品管理部门，显示OT企业组织资安策略的核心决策权，正在从营运团队转移至其他部门领导者，且多数皆是交棒给资安长或安全长（CSO）。

零信任架构、资安意识培训、整合与自动化网路安全平台三管齐下，打造全方位OT资安防护网

当OT产业进入工业4.0 与智慧制造的全新阶段，如何建立全方位的资安防御策略，并确保关键供应链营运不中断，成为台湾不论规模大小的企业近年来在OT资安防护面临的重要课题。面对与日俱增的资安风险，Fortinet建议企业组织应善用「零信任（Zero Trust）」机制，以落实完整的数位资产盘点与分割，并藉由持续性的验证，确保只有获得信任的使用者、设备或应用程式得以存取内部的关键机敏资讯。

在导入零信任架构的同时，企业组织也应当透过网路安全培训与认证，提升员工与营运团队的防御思维，更可以开设基础的资安意识训练课程，让远距办公的工作者及身处相同网路环境的家人，从安全防护弱点进化为企业组织最强大的防线。

资安技术部署方面，Fortinet则建议企业组织建立高整合性与自动化的OT网路安全平台，并与拥有广泛解决方案组合的供应商合作。藉由 OT 安全营运中心（SOC）等解决方案，完成从基本的资产管理、网路分段到进阶的威胁回应，助企业资安长在IT与OT环境高度融合的环境下，轻松简化资安防御复杂度。而企业组织亦可透过网路存取控制（NAC），保护连线至企业网路的各项关键数位资产，包含工业控制系统、资料搜集与监控系统（SCADA）、物联网（IoT）装置及自携设备（BYOD）等，进而为OT环境提供持续且完整的可视性、控制与自动回应，全面守护企业网路安全。