兩強聯手 防護資安破口
有愈來愈多的製造業,選擇採取資安措施以確保智慧製造的投資得以回收。圖/Rockwell Automation提供
前言:根據那斯達克上市資安公司Fortinet所發佈2023年勒索軟體調查報告指出,「面對勒索軟體威脅時,製造業實際付款比例和遭索取金額,爲所有產業裡排名第一。」
自動化巨擘Rockwell Automation與全球知名的資安公司Fortinet宣佈強強聯手,要攜手爲製造業量身打造全面的資安防護解決方案,提供基於安全的數位轉型、能源轉型,以及本領域的關鍵資安應用與服務,既確保資料隱私防護,同時將潛藏資產風險降至最低。本次合作不僅是產品面有更大的彈性與合作,更是智造、資安解決方案的強強整並。本報特別獨家訪談臺灣洛克威爾國際公司半導體工業自動化重點客戶經理洪睿正與Fortinet在臺OT事業拓展經理陳心怡。
問:怎樣的機緣促成自動化巨擘Rockwell Automation與網路安全的領先創新者Fortinet正式合作?
洪:這次合作源於現今數位轉型的趨勢下,OT與IT融合的過程中衍生出龐大對資訊/資料安全的市場需求。以往工廠裡的OT及IT的網路是分開的,現在兩者需要融合,基於OT對於資安的處境,由最熟悉OT的廠商提出的解決方案將最爲適合OT端的需求,因爲工業控制資安解決方案、功能非IT業者所能提供。洛克威爾具備工控自動化方面的專長,深諳OT端的底/中/上層完整架構與KnowHow,希望藉用Fortinet的工具,融合雙方的專業知識,爲客戶架構OT資安的解決方案。
陳:解決方案必須能對症下藥、解決客戶的痛點。洛克威爾擁有豐沛的OT第一線經驗,由他們指出使用者遇到的狀況、痛點,經過Fortinet分析消化之後,基於洛克威爾既有的解決方案,再從Fortinet五十多種解決方案中挑出客戶所需,能快速實現解決方案落地。
Fortinet的新世代防火牆FortiGate,市佔率在全世界防火牆產品市場超過一半,臺灣佔有率更高達六成以上,在工控資安方面,不論IT或OT都有相對應的工具及解決方案。我們很榮幸與工業自動化領域的佼佼者洛克威爾合作,這次合體將帶領Fortinet的縱向深耕、橫向拓銷都更進一步。
問:對於臺灣資安需求現況的觀察?
陳:Fortinet在2022年針對企業現況進行資訊安全現況調查,發現其中九成企業在過去一年,至少有一次被駭客攻擊的經驗,這些企業現場的可視化程度相對比較低,既不清楚現場有何資產種類、位置、數量等,即使遭受駭客攻擊也無從得知。
洪:我想舉其一個半導體大廠客戶的例子,「他在遭受資安攻擊後損失重大,因此纔開始尋求解決方案,但現場可視化程度太低,洛克威爾提出先讓廠區的資產可視化,受到駭客攻擊時才能夠立刻反應(知道);後續再平行拓展更全面的資安解決方案,這部份正與Fortinet合作。」未來希望由此成功案例,將經驗複製到同類型的其他公司,甚至橫向擴大至其他產業。
問:目前臺灣製造業的資安破口,你怎麼看?
洪:要推動臺灣資安產業化,對洛克威爾而言是個很好的契機。2018年護國神山的機臺中毒、損失重大,對業界造成震撼警示,因此開始重視資安風險,對此話題的接受度也大幅提高。但是客戶往往想要知道投資回報率,這方面很難量化,洛克威爾只能提供實際案例。不過國內知名晶圓代工廠已經導入工業控制資安解決方案,只要半導體大廠願意投資,中小企業就容易跟進。近年在工業控制領域資安問題頻傳是實情,爲了確保大筆投資的智慧製造不會成爲失血的破口,建議所有正要導入數位化的工廠都必須採取資安措施以確保投資有望回收。
陳:臺灣要發展工業4.0,資安可以參與介入的面很廣;經過這兩年大疫促進數位轉型加速,市場也的確浮現契機。重點是客戶要有病識感,否則根本企業對如何做只是觀望、猶疑、原地踏步,就不用談我們能提供多有用的方案。臺灣要如何推展,我想可以從兩方面着手:一、學習美國某些州已設立工控資安的相應法規,未來臺灣在基礎建設上如果也設立資安法規,推展就會比較快。二、半導體及外銷廠商對資安的需求比較多,可以先進行教育推廣。
問:常見於製造業的資安問題?
陳:Fortinet有一個傳產金屬加工業者;在他們的MES系統中,遭受駭客攻擊;硬碟上的檔案受到加密,導致喪失資料的存取權,駭客勒索支付贖金,並且要求以比特幣支付,以避免追蹤贖金去向,事後才爲資安做進階部署。這樣的案例很多,多數是機臺中毒。而據Fortinet調查發現,四分之一的製造業遭勒索的金額高達100萬美元(約合新臺幣3,000萬元)以上。
「投資資安防護是否能達到100%的安全性」又是一個常被問到的問題。我要說,沒有一家資安廠商可以保證防護做到滴水不漏,但是「可以將風險降至最低」,就是把感染原隔離開;一部機臺中毒,就加以鎖住,不會跨廠區蔓延。僅這一點就有極大價值。
問:很想打破的客戶迷思?
陳:客戶有傾向頭痛醫頭、腳痛醫腳的情形,但其實會適得其反。實際經驗是「相對於使用傳統單點資安產品,導入整合式網路安全平臺的企業,更不容易成爲勒索軟體威脅下的受害者。」
洪:對資安防護的架構,我們建議企業要有全盤的規劃,不是找代理商購買個別資安產品,單打獨鬥的防禦產品,會使系統的連動產生問題,提高系統使用的複雜度,安全性因而無法提升。建議最好找?決方案供應商,提供顧問式服務,在資安的考量、設計或執行上才能更全面。