關閉選單
  1. Home
  2. NEWS最新消息
顯示分類
2025.09.19
案例與專題/工控設施
加拿大資安網路報告揭示OT攻擊激增:關鍵基礎設施面臨新型態風險

2025年9月,加拿大資安網路(Canadian Cybersecurity Network)發布《State of OT: Securing Canada’s Critical Infrastructure》報告,揭示營運技術(Operational Technology, OT)系統在全球資安威脅中正迅速成為首要攻擊目標。隨著OT與IT系統融合、智慧建築與永續基礎設施擴張,攻擊面不斷擴大,導致醫療、能源、礦業、水務等關鍵領域面臨前所未有的資安挑戰。

OT攻擊激增:從49%到73%的驚人跳升

報告指出,2024年全球通報的資安事件中,有高達73%影響OT系統,遠高於2023年的49%。這一跳升反映出駭客、勒索軟體集團與國家級攻擊者正將目標從傳統IT轉向OT環境,尤其是那些與人身安全、公共服務與國家韌性息息相關的系統。

代表性事件:2024年Black Basta勒索軟體攻擊Ascension Health,導致數百家醫院系統中斷,手術延誤、救護車改道,凸顯OT系統失效對人命安全的直接衝擊。

關鍵基礎設施的脆弱性:每日新增60個電網漏洞

報告揭露,加拿大能源供應商每日追蹤多達60個電網新漏洞,醫院則面臨能癱瘓急診系統的勒索軟體威脅。OT系統不再只是工廠內部的控制器,而是遍佈於城市水處理、遠端礦場、交通樞紐與智慧建築之中。

2025–2026年國家網路威脅評估(National Cyber Threat Assessment)警告:勒索軟體與國家級滲透行為「幾乎確定」會持續針對關鍵基礎設施。

五大驅動力重塑OT資安策略

報告指出,以下五大力量正改變企業對OT資安的思維:

  • IT與OT融合:單一釣魚郵件可能導致整個工業系統停擺
  • 智慧城市與永續建設:建築系統成為數位基礎設施的一部分
  • 法規推動:加拿大《C-8法案》與全球類似法規要求建築系統納入風險治理
  • 保險壓力:OT若無可視性與控管,可能被視為「不可保」
  • 國家級攻擊者擴大戰略目標:智慧建築成為地緣政治與混合戰爭的新戰場

對台灣企業而言,這些驅動力同樣適用,尤其在智慧製造、醫療科技與公共建設領域。

OT資安盲點:從硬編碼密碼到未加密通訊

報告揭示多項OT環境常見資安缺陷:

  • IT與OT網路未分段,導致橫向滲透風險
  • 控制器使用預設或硬編碼密碼,易遭暴力破解
  • 廠商遠端維護工具未經審查即部署,成為後門
  • 建築自動化系統(BAS)使用未加密通訊協定,易遭攔截或操控
  • 使用過時或不再支援的軟體版本,無法修補漏洞

根據 Nozomi Networks 調查,全球僅15%的企業對建築OT系統有正式資安治理架構,逾半仍直接連接至網際網路。

BAS成為新興攻擊向量:HVAC、電梯、Kiosk皆受威脅

報告指出,約三分之一的OT攻擊與建築自動化系統(BAS)連接的IoT設備有關,包括:

  • 電梯控制器
  • 空調與通風系統(HVAC)
  • 自助服務機(Kiosk)
  • 門禁與照明系統

Shodan搜尋顯示,全球有超過23,000個BAS設備可被公開發現,成為駭客掃描與滲透的首選目標。

從可視性到韌性:OT資安的五大防禦支柱

報告提出五大防禦支柱,協助企業建立OT韌性架構:

  • 可視性(Visibility):建立完整資產清單,包括控制器、通訊協定與廠商連線,並導入持續監控機制。
  • 強化與分段(Hardening & Segmentation):使用VLAN、協定感知防火牆與嚴格的遠端存取控管,防止單點滲透擴散。
  • OT專屬偵測(OT-Aware Detection):導入針對OT環境設計的偵測服務,能辨識電梯、空調等設備異常行為,補足IT工具盲點。
  • 即時回應與復原(Response & Recovery):建立OT事件應變手冊,涵蓋數位資產與人身安全,確保建築能快速恢復運作。
  • 治理與合規(Governance):將OT資安納入高層治理、供應商合約與合規架構,對齊ISA/IEC 62443與ISO 27001等標準。

有效治理不只是文件,而是能在演練中驗證、在事件中發揮的韌性架構。

台灣企業的應用建議:從建築到製造的全面防禦

對台灣企業而言,報告提供以下具體建議:

  • 將建築管理系統(BMS)納入資安治理範疇
  • 對OT設備進行資產盤點與風險分級
  • 與廠商建立遠端存取審查與通報機制
  • 導入支援OT協定的偵測與回應平台
  • 建立跨部門OT資安小組,整合工程、資安與營運人員
結語:OT資安不只是防禦,更是城市韌性的基礎

加拿大資安網路報告揭示,OT系統已成為現代城市與企業營運的核心。從智慧建築到醫療設施,從能源網路到製造工廠,資安失效不僅是技術問題,更是公共安全與信任危機。台灣企業若能主動導入可視性、分段、偵測、回應與治理五大支柱,將能在全球資安風險升溫下穩健前行,守護人員安全、營運持續與品牌信任。


資料來源:https://industrialcyber.co/reports/canadian-cybersecurity-network-report-highlights-surge-in-ot-cyber-incidents-rising-critical-infrastructure-vulnerabilities/
 
加拿大資安網路報告指出,全球OT資安事件比例已飆升至73%,涵蓋醫療、能源、水務等關鍵基礎設施。