供應鏈變動與法規衝擊下的CPS資安挑戰

隨著全球經濟壓力、地緣政治不確定性與法規更新加劇，企業在保護其「網路-物理系統」（Cyber-Physical Systems, CPS）方面面臨前所未有的挑戰。根據 Claroty 最新調查，供應鏈重組與法規變動正深刻影響工業製程、醫療設備與建築管理系統等關鍵環境的資安策略，迫使企業重新思考其防禦架構與合規流程。

網路-物理系統 (CPS）

「網路-物理系統」（Cyber-Physical Systems, CPS）是一種將計算技術（Cyber）與物理世界（Physical）緊密整合的系統架構。它不僅僅是資訊系統或機械裝置，而是感測、網路、控制與計算的深度融合，用於監測、控制與優化現實世界中的物理流程。CPS的核心概念：

• 感知 (Perception)：使用感測器（sensors）、IoT 裝置來蒐集物理環境中的資料，例如溫度、壓力、位置、速度。
• 網路 (Networking)：將感測到的資料透過有線/無線網路傳送，實現實時數據交換。
• 計算 (Computation)：利用電腦、雲端或邊緣運算平台進行數據處理、分析與決策。
• 控制 (Control)：透過致動器（actuators）將決策轉化為實際動作，影響物理環境，例如自動調整機器手臂、調度電力。

CPS環境的資安壓力持續升高

Claroty針對全球1,100位資安專業人士進行調查，涵蓋工業控制系統（ICS）、連網醫療設備（IoMT）、建築管理系統（BMS）等CPS場域。結果顯示：

• 近半數受訪者認為供應鏈變動已直接提升企業內部的網路風險
• 76%表示即將到來的法規更新將迫使他們全面調整現有資安策略
• 46%企業在過去一年曾因第三方供應商存取而遭遇資安事件

這些數據反映出CPS環境的防禦難度正在加劇，企業不僅要面對技術挑戰，更需應對外部政策與營運變動所帶來的衝擊。

供應鏈重組：第三方風險急遽上升

在全球供應鏈地理重新配置的趨勢下，67%的企業表示正在重新評估技術來源地。這不僅影響採購成本與交期，更直接牽動第三方存取風險。實際案例顯示，攻擊者常透過供應商帳號滲透企業網路，植入惡意程式或勒索軟體。由於CPS環境多與外部維護廠商、設備供應商連線，風險擴散速度極快。

因此，Claroty報告指出，已有近三分之二企業正在重新檢視第三方遠端存取權限，並以「風險降低」、「成本控管」與「存取透明度不足」為主要檢討原因。

法規變動：合規策略面臨重構壓力

除了供應鏈挑戰，法規更新也是企業CPS資安策略的另一大壓力源。調查發現：

• 69%企業目前依循 NIST Cybersecurity Framework、ENISA 指南等國際標準
• 76%受訪者認為未來法規將迫使他們重構現有資安架構

在美國，聯邦資安規範可能出現調整或回溯；在歐洲，Cyber Resilience Act 與 NIS2 指令的實施期限即將到來，企業需更新合規流程、強化資產分類與事件通報機制。Claroty指出，企業合規驅動力主要來自三個面向：聯邦法規、國際標準與產業特定要求。這意味著CPS資安策略不再只是技術問題，更是政策與治理層面的挑戰。

企業應對策略：從架構重整到風險治理

面對供應鏈與法規雙重壓力，Claroty建議企業採取以下策略：

✅ 第三方存取控管

• 建立供應商資安審查流程
• 導入零信任架構與細緻權限管理
• 記錄並監控所有外部存取行為

✅ 合規架構重整

• 對照 NIS2、CRA 等法規更新資安政策
• 建立跨部門合規小組，整合法務、資安與營運
• 導入自動化合規稽核工具，提升效率與準確性

✅ CPS資產分類與風險評估

• 對工業設備、醫療裝置與建築系統進行風險分級
• 導入行為式偵測與異常流量分析
• 建立事件通報與回應機制，提升韌性

台灣企業的應用建議：在地化與國際化並進

對台灣企業而言，CPS資安挑戰不僅來自技術層面，更需兼顧在地法規（如個資法、醫療器材法）與國際標準。建議如下：

• 將CPS納入企業資安治理架構，建立專責團隊
• 對外部維護廠商與設備供應商進行資安風險評估
• 導入支援中英文的合規平台，提升內外部溝通效率
• 與國際顧問或技術夥伴合作，掌握最新法規動態

結語：CPS資安不只是防禦，更是營運韌性的核心

Claroty的調查揭示，CPS資安已不再是單一技術問題，而是企業營運、供應鏈與法規治理的交叉挑戰。台灣企業若能主動調整架構、強化第三方控管並導入合規自動化工具，將能在多變的環境中穩健前行，並以資安韌性作為競爭優勢。

資料來源：https://www.helpnetsecurity.com/2025/09/19/rules-test-cps-security-strategies/