物聯網架構的特色是整合IT與OT兩大系統,藉此提升設備的數據價值、優化系統運作效率,有鑑於此,多數電力基礎建設也開始導入物聯網架構,然而這也讓這類關鍵系統暴露在資安風險中,因此如何強化電力設備的網路保護機制,就成為企業維持穩定營運的關鍵課題。
十二年前(2010),伊朗電廠遭到Stuxnet蠕蟲攻擊,成為首起OT系統重大資安事件,在這之後電力、交通、製造場域的系統被入侵的頻率快速升高,這幾年設備連網成為趨勢,更為駭客打開方便之門。根據IDC的預測,2025年全球的連網設備數量將達557億台,其中75%將連接到物聯網平台中,眾所週知,物聯網架構的特色是整合IT與OT兩大系統,藉此提升設備的數據價值、優化系統運作效率,有鑑於此,多數電力基礎建設也開始導入物聯網架構,然而這也讓這類關鍵系統暴露在資安風險中,因此如何強化電力設備的網路保護機制,就成為企業維持穩定營運的關鍵課題。
OT系統在電力管理應用已愈益廣泛,由於電力管理系統的專業需求高、設備類型繁多、佈建場域寬廣,想讓效益如期浮現,必須有感測網路與監控平台,管理者才能掌握完整資訊、精準控制設備。從架構面來看,OT系統貫穿整體電力管理機制,因此一旦被入侵,對企業的影響極大。
相較於開放的IT系統,OT系統向來封閉,因此被攻擊的機會並不多,在IT與OT整合後,系統已然出現破口,不過多數管理尚未意識到此問題的嚴重性,導致OT系統的資安風險大增,整體而言,現在OT系統常見的資安漏洞有幾個,包括企業對自有資產的資訊掌握度不夠、系統資安防護力不佳、軟硬體防護未與時俱進、第一線操作人員的資安認知不足,這些漏洞都給予有心人士可乘之機。
要解決上述問題,須打造效率與安全兼具的關鍵基礎建設,企業可以從「人才」和「系統」兩處著手,首先是打造具備資安專業的OT團隊。過去的資安事件主要出現在IT領域,OT被攻擊的頻率偏低,因此相關人員往往沒有足夠的專業技能與經驗,目前多數企業的做法是藉由系統託管服務商解決資安問題,不過外部廠商對OT系統的掌握有限,企業還是要建立了解自身專業的團隊才是永久之計。
第二是系統面,OT系統的投資成本和建構時間都非常大,而且與企業運作息息相關,為了確保投資效益和穩定性,系統內硬體設備與軟體平台的使用壽命都相當長,因此網路安全服務也必須有長時間管理思維,像是硬體元件的長期供貨保證與維修、軟體定時升級版本與修復漏洞,確保系統的可用性。另外,在打造專業團隊、以長期思維規劃OT資安系統的同時,企業也可與外部能源顧問夥伴合作,展開跨域合作,分享專業知識並共同制定具實戰性的資安策略。
在數位轉型趨勢下,設備連網數量將越來越多,在效率提升的同時,網路攻擊也將隨之而來,強化OT系統防護機制已是迫在眉睫之事,企業必須正視資安威脅問題,盡快展開人員培訓計畫,並與外部專業夥伴合作,確保電力基礎設備的物聯網架構安全無虞。
<本文作者:宮鴻華現為伊頓電氣台灣與日本區總經理>