關鍵基礎設施資通安全防護

【2020／12／28，台北訊】勤業眾信聯合會計師事務所亞太區工控系統資安諮詢服務負責人林彥良今（28）指出，新興科技推進數位轉型及創造收益，但同時也致使關鍵資訊基礎設施威脅事件層出不窮，亦將傳統資安風險複雜化的挑戰。勤業眾信建議，企業強化資訊科技（IT）和工業操控技術（OT）資安防護時，應掌握自我安全成熟度現況，並建立以風險為導向、以治理框架為基礎的措施，採取「定調、定義問題、了解立場、設定目標、蓄勢待發、試行並推廣」六個步驟，實現服務優化和業務計畫的擴展並建構關鍵基礎架構之網路安全。

林彥良指出，關鍵基礎設施包含電力、水資源、大眾運輸及通訊技術等人類建造基礎社會與經濟的象徵。根據勤業眾信今年初發布之《2020科技趨勢報告》（2020 Tech Trends），工業物聯網（IIoT）雖對實現工業4.0有巨大的助益，數位革命帶動IT和OT持續融合，也造成遭駭客攻擊的風險急遽上升，各國在關鍵基礎設施的安全防護尚有進步空間外，也面臨著多重且不斷增長的數位威脅，舉凡國家支持與網軍團體、內部人士與第三方、駭客主義者皆有可能導致關鍵服務被入侵或破壞的風險。

2014年台灣行政院發布《國家關鍵基礎設施安全防護指導綱要》，做為關鍵基礎設施公司防止一般風險主要參考架構，並於2018年頒布《關鍵資訊基礎設施資安防護建議》，針對OT環境提出建議。除了這些準則之外，台灣大多數公共部門和關鍵基礎建設企業，亦適用《資通安全管理法》和《資通安全管理法施行細則》兩項網路安全法規要求。對比台灣，亞太區各國資通安全法規在政經情境多樣性影響下，對網路風險挑戰之因應方式各不相同，對網路安全控制成熟度要求亦產生差異。

林彥良指出，根據《2020科技趨勢報告》，基礎架構營運業者需要建立強大的治理框架，以強化其數位防禦的韌性，為未來做好計劃。建議企業可以採取「定調、定義問題、了解立場、設定目標、蓄勢待發以及試行並推廣」六個步驟，實現服務優化和業務計畫的擴展並建構關鍵基礎架構之網路安全。

數位化革命腳步毫無放緩的跡象，儘管某些地區制定了關鍵基礎設施的法律或法規，但這些法規或規範通常側重於風險管理和監督權力。勤業眾信認為，實現關鍵產業環境安全的特定標準和技術要求是必要的，透過採用國際認證的網路安全標準和產業成熟度模型，加強監督和資訊共享，才能確保關鍵基礎建設的安全。