OT資安邁入新常態　韌性來自合規與技術落實

當工廠網路大門為數據交換敞開時，潛伏已久的資安威脅也隨之長驅直入，使得工業控制系統（ICS）的資安議題，迅速擴散至所有製造業，成為永續經營不可忽視的關鍵環節。

深耕工業通訊領域的Moxa（四零四科技），早在十多年前便已投入工業防火牆等資安產品的研發，最初服務於石油、能源、電力等對資安要求嚴苛的關鍵基礎設施。然而近年來，隨著攻擊事件頻傳與法規日趨嚴謹，市場需求急劇升溫，讓OT資安從小眾議題，演變為所有產業都必須正視的新常態。

Moxa亞太區市場事業處產品行銷經理郭彥徵指出，OT資安的複雜性來自IT與OT的本質差異。傳統IT資安強調資料的機密性、完整性與可用性；OT場域則以設備與流程的可用性及人員安全為優先，任何導致產線中斷的風險都必須避免。IT環境以伺服器、雲端平台為主，能透過更新與修補漏洞應對威脅；相較之下，OT環境充斥使用年限極長、難以更新的工控設備，如PLC（可程式邏輯控制器）、DCS（分散式控制系統）等，無法安裝防毒軟體或傳統防火牆，專有通訊協定也令IT資安工具無從著力。Moxa全球行銷企劃處資深整合行銷經理陳建銘補充，OT場域對網路延遲極為敏感，IT世界中幾秒延遲無傷大雅，在OT可能就是災難，這正是許多IT資安方案無法直接套用的主因。

IT與OT融合後網路層防禦成關鍵

當企業高層要求IT部門介入工廠資安時，常陷入「不知從何做起」的困境。IT人員面對陌生的嵌入式系統與工業通訊協定，時常感到無力。郭彥徵分享，他曾協助一家日本高爾夫球製造商協調IT與OT團隊資安部署。該廠的IT經理希望導入解決方案，卻因系統會產生一至兩秒延遲而遭OT團隊強烈反對，因為產線使用的Modbus協定以毫秒為單位傳輸，延遲將癱瘓運作。在此情境下，Moxa扮演了「轉譯器」角色，協助IT理解OT需求，並將資安原則以可接受的方式導入。由於OT端點設備難以變更或加裝防護，網路層遂成為防禦的核心。

傳統的普渡模型（Purdue Model）是以功能階層劃分，較少著墨於網路架構的細節。然而Moxa從實務經驗出發，將網路架構融入其中，向客戶闡明即便端點無法觸及，在網路傳輸的路徑上仍有許多防禦措施可以部署。郭彥徵說明，透過在網路層進行妥善的微分段與存取控制，便能在不影響底層設備運作的前提下，有效阻斷惡意程式的橫向移動與供應鏈攻擊的傳遞路徑。

Moxa工業防火牆便是一個典型例子，它不僅是防火牆，更整合了路由功能。考量到OT場域最忌諱停機變更網路設定，Moxa的防火牆允許管理者以實體網路埠（Port）為單位來切分不同產線或系統的網段，如此一來，既能達到隔離效果，又無需重新規劃底下眾多設備的IP位址，大幅降低導入門檻。在邊緣網路端，Moxa則提倡以智慧型或網管型交換器取代傳統不具備任何安全功能的無網管型交換器，藉此實現VLAN切割、存取控制等基礎防護。

法規驅動OT資安從選配走向標配

近年來OT資安意識的快速崛起，主要來自法規與市場需求的雙重驅動力。郭彥徵觀察到，這兩三年亞太區的OT資安需求明顯發酵，過往資安只是數位轉型專案中的附屬品，如今已成為客戶主動探討的獨立議題，而企業內部負責資安的窗口也從過去的權責不清，逐漸轉變為有明確的專責人員，呈現出「由兼任變專任」的趨勢。這背後最大的推力，源於全球性的資安法規浪潮。歐盟的網路與資訊系統安全指令第二版（NIS2）、網路韌性法案（CRA）以及無線電設備指令（RED）等，都對銷往歐洲的產品設下了嚴格的資安門檻。例如CRA法案便要求，自2027年底起，凡是含有數位元件的連網設備若要進入歐盟市場，都必須符合其資安要求並取得認證。這股壓力不僅影響大型企業，也透過供應鏈傳導至台灣廣大的中小企業製造商。

面對法規要求與潛在的成本壓力，許多中小企業感到焦慮。對此，陳建銘認為，以國際標準IEC 62443為例，其價值不應僅被視為一道需要花錢取得認證的門檻，更重要的是它為企業提供了一套完整的資安框架與實踐方向。IEC 62443涵蓋了從組織管理、系統建構到產品開發的全生命週期安全要求，即使企業現階段沒有資源進行第三方認證，也能依循其「安全始於設計」的理念，檢視自身產品與流程的威脅模型，逐步強化資安體質。

陳建銘指出，Moxa自身便有眾多產品通過了IEC 62443-4-2的認證，但同時也提供一系列雖未送測、但在軟體安全設計上遵循同等高標準的產品，為客戶提供彈性的選擇。例如，為因應歐盟RED指令將於2025年8月1日正式上路的要求，Moxa旗下的OnCell G4300-LTE4系列行動通訊路由器、AIG-302系列IIoT閘道器，以及AWK Wi-Fi 6系列無線設備，皆已率先取得EN 18031類型檢驗認證，展現其法規遵循的實踐能力。