新資料顯示， Black & Veatch 與 Takepoint Research 的研究指出，在工業基礎設施中導入資安仍存在明顯的執行落差。儘管多數組織認知其重要性，仍有 72% 在資本專案後期才導入資安或完全未導入。研究顯示，資安常被視為下游工作，導致系統上線後需進行高成本補強並增加營運風險。雖有 95% 受訪者認為提早導入可提升安全與韌性，但僅 24% 表示在早期設計與建置階段持續納入資安，顯示問題主要來自組織結構，而非認知不足。

報告《Secure by design》強調，資安不應被當作事後補救措施。延後導入會提高成本與風險，且網路事件對營運的衝擊可能與實體故障同樣嚴重。研究基於 451 份全球回應，分析造成此現象的原因，並提出在整個工業專案生命週期中落實「設計即安全」的方法。

研究指出，專案早期（如 pre-FEED 與設計階段）的決策對長期資安影響最大。78% 受訪者認為早期導入可降低停機與中斷，61% 認為可降低整體成本。然而，責任不清、治理不一致與誘因衝突仍阻礙導入進度，68% 指出責任歸屬不明，57% 指出資產所有者與工程承包商之間缺乏協調，導致營運團隊在交付後承擔長期風險。

報告強調，關鍵資安決策在專案初期完成，一旦進入設計與施工階段，調整空間大幅降低，常導致後續昂貴補強。Charlie Sanchez 指出，資安必須在資本規劃與採購階段就納入，否則將無法落實，並影響公共安全與經濟穩定。

研究顯示，資安責任分散於多方（EPC、資產所有者 IT/OT、採購等），缺乏明確主責，核心問題在於生命週期中的所有權分裂，而非技術或控制不足。有效模式應由資產所有者在前期定義資安需求，並在設計、採購與交付過程中維持一致，避免交接時責任重置。

報告指出，「設計即安全」的主要挑戰在執行層面。雖然組織普遍認同其價值，但在實際專案中應用不一致，原因在於治理結構與責任分配方式。為使資安成為不可或缺的要素，需透過合約、財務與監管機制強化其強制性，並將其納入供應商選擇、規格制定、測試與驗收等流程。

此外，83% 受訪者認為法規是推動因素，但報告指出合規不等於安全，多數法規仍落後於威脅環境。76% 則認為明確的商業價值是最強驅動力。企業需透過總持有成本與資安風險量化分析，建立資安投資的合理性。

研究也顯示，早期導入資安可提升安全性（94%）並降低停機與營運風險（78%）。從營運角度來看，其價值在於建立清晰網路邊界、控制存取權限與完善交接文件，以降低後續管理複雜度。

採購被視為關鍵但未充分利用的環節。若資安要求納入投標與合約，便具備強制性。68% 受訪者希望透過標準化合約支援早期導入，76% 主張直接納入規格與合約，否則低價投標往往忽略未明確定義的資安範圍。

報告進一步指出，資安風險多在資產投入營運前即已決定。系統部署後受限於成本與運行壓力，難以進行重大調整。營運團隊常需管理其未設計且難以修復的環境。

最後，報告提出分階段路線圖，強調需先建立權責與治理架構，再推動實務執行與專案整合，最終制度化於整體組織。關鍵在於先完成跨部門對齊，再導入工具與標準，並將資安要求嵌入治理與專案流程，以確保長期持續性與一致性。

資料來源：https://industrialcyber.co/reports/black-veatch-takepoint-research-finds-fragmented-ownership-slows-secure-by-design-adoption-pushing-cyber-risk/