工業資安計畫在過去十年已顯著成熟，許多組織大量投資於偵測工具、網路分割與預防控制。然而，當事件發生時，響應能力往往被這些防禦措施所阻隔。現場缺乏應對手冊、角色未定義，且資安團隊、工廠操作人員與領導層之間的協作在產業中並不常見。

在產業環境中，一旦中斷可能迅速演變為安全風險或生產停擺，組織幾乎沒有空間即興應對。正是這些缺口促使 OT 與資安風險管理專家 Durgesh Kalya 撰寫了《工業控制系統事件管理》一書。

他指出，在 IT 與 OT 環境近二十年的經驗顯示，組織在防止事件方面準備較好，但在事件展開後管理方面遠顯不足，尤其當入侵最初源於企業 IT 網路而非現場時，且角色混亂、不切實際的隔離期望與對流程依賴性的誤解會加劇損害。

為了在網路事件發生時為企業提供協調架構與決策清晰度，該書提出一個基於事故指揮系統（Incident Command System）且可擴展、可重複的模型，透過 ICS4ICS 框架調整為工業資安事件使用。書中探討網路事件如何迅速演變為具有安全、生產與公共服務影響的操作級危機，並透過案例研究、操作指引和演練示範如何加強能源、運輸與製造等關鍵基礎設施部門的應對能力。

這本書的特色在於強調僅靠技術不足以拯救處於危機的組織。人員、溝通、權責結構及文化準備狀態在決定事件是可控性中斷或災難性後果方面的重要性，與技術因素同樣關鍵。油管、電網和工廠並非網路攻擊的例外，而 Kalya 明確指出，彌補預防與響應之間差距的需求比以往任何時候都更迫切。。

撰寫緣起與目的

Kalya 表示，他在 IT 與 OT 環境中近二十年的經驗中，反覆看到組織在預防控制方面準備良好，但在事件發生後的響應能力極為薄弱。當事件發生時，對角色、權限、溝通與恢復優先順序存在混淆。在 OT 環境中，沒有無限時間來釐清這些問題。他也看到缺少或不完整的檢查表、IT 團隊對 OT 資產隔離或恢復速度的不切實際期望，以及對流程依賴性缺乏理解。

雖然 OT 系統易受威脅，但大多數情況下初始入侵源自 IT 或企業設備、遠端存取或使用公司網路的人員。Kalya 的著作旨在彌補這些網絡安全計畫與真實操作響應之間的缺口。

角色定位與書籍用途

當被問及這本書最初是打算作為實務指南、領導層策略參考，或操作與高層之間的橋樑時，Kalya 回應說，最初它是作為實務人員的現場指南，但很快就明白在工業環境中事件響應需要操作部門與高層管理的一致，因此結果成為了連結工廠團隊、網路安全與領導層的橋樑，因為三者在危機時刻必須一起行動。

他也指出，隨著技術快速演進，組織過度著重於技術，而忽略了人與人之間的協調與溝通的必要性。這使得這本書尤其具有時效性。

框架與實作

當被問及 IT 資安專業人士關於工業控制系統事件響應最常見的誤解時，Kalya 認為這不是誤解，而是優先順序與期望的不一致。IT 事件響應模式關注快速遏止威脅，而 OT 環境必須優先考量安全、流程穩定與受控恢復。你不能在未了解操作影響的情況下簡單地隔離系統或關閉設備。可用性與安全是第一，恢復可能需要數天或數週，而非數小時。

關於 ICS4ICS 框架

Kalya 提到本書是圍繞多個支柱建構，而事件指揮系統（Incident Command System, ICS）是核心基礎之一。ICS 為壓力下的角色定義、權限、溝通與決策提供了一個經過驗證的結構，而這些在工業場景中大多資安手冊所缺乏。透過結合 ICS 與關鍵基礎設施的特性及工業控制系統的現實，本書將這些概念轉化為可執行計畫，而非僅是響應指南。其目標是為組織提供一種可重複的方法來達成準備、協調與恢復，而不是迫使團隊在危機中即興應對。

Kalya 解釋，ICS4ICS 是為因應影響工業自動化之網路事件而特別調整 FEMA 事件指揮系統模型。傳統 IT 手冊不涉及工廠運作、安全系統或物理後果。ICS4ICS 由 ISA 全球網絡安全聯盟（GCA）開發，提供角色定義、協調指南及專為關鍵基礎設施設計之演練。該書也探討其他既有框架，並示範如何整合或調整它們，而非取代現有有效做法。

威脅環境與後果管理

談到工業控制系統威脅景觀的演變，以及對當前關鍵基礎設施風險的持續誤解，Kalya 提到攻擊如今旨在中斷運作，而不僅是竊取資料。針對 OT 網路的勒索軟體可能使生產線停擺數天或數週，例如日本朝日啤酒公司遭攻擊的例子。一個持久的誤解是認為這些事件仍局限於 IT 範疇，實際上業務影響往往來自於操作中斷。

協調實例

Kalya 強調網路事件與實體後果的融合，並描述了一個需 IT、OT 與安全團隊協調的情境，其中包括美國明尼蘇達州聖保羅市的勒索攻擊事件。受影響的 OT 系統直接關聯公共安全功能，使情況超出典型 IT 中斷範圍。該案例展示了結構性優先順序的一致性如何在恢復期間維持關鍵服務的連續性，即使在重大中斷中亦能降低影響。

組織準備

當被問及建立堅韌 ICS 事件響應能力最關鍵的結構性或組織性改變是什麼時，Kalya 表示，應從治理與營運模式開始，而不是僅著眼工具。有效的 ICS 事件響應能力需要明確的權限、定義好的工作流程，以及經過演練的 IT、OT、安全與領導層之間的跨部門協調。

組織需要預先定義決策路徑、溝通管道並建立跨功能一致，才能在生產、安全或公共服務受到威脅時迅速行動。這必須搭配準確的資產能見度、經測試的備份與恢復、替代通訊、退路程序，以及在退化條件下操作的訓練有素人員。大量安全事故顯示，溝通、情境感知與決策清晰的失敗往往比引發事件本身更放大影響。

個人反思與策略性建議

Kalya 表示，他原本以為多數組織至少具備基本的協調響應結構，但實際上很多依賴非正式關係與臨時決策。這種方式或許在小型事件中可行，但在重大事件時迅速崩潰，增加混亂與恢復時間。

當被問及若讀者只能從本書中實施三項原則以強化應對能力，他希望讀者做到：明確定義事件中誰負責（透過清晰的權限委派）、建立 IT 與 OT 及領導層間的決策與溝通流程，並實踐包含操作團隊的實際情境演練，而非僅限網路安全人員。這些步驟本身即可顯著提升組織在無恐慌、延誤或矛盾行動下的響應能力。

原文連結：https://industrialcyber.co/interview/building-incident-management-for-industrial-control-systems-to-address-gaps-in-ot-cyber-incident-response/