關閉選單
  1. Home
  2. NEWS最新消息
  3. 標準與框架
  4. 組織治理
顯示分類
2026.01.12
標準與框架/組織治理
工業網路治理迎來轉折點,轉向可衡量的韌性和高階主管問責制

工業網路安全治理正處於關鍵時刻,傳統模式已難以跟上融合的IT、OT、雲端和AI驅動的控制系統的步伐。在網路安全事件會導致安全事故、生產損失和供應鏈持續中斷的當下,將網路安全視為合規性問題已不再適用。IBM發布的《2024年資料外洩成本報告》指出,涉及關鍵基礎設施的資料外洩是代價最高的事件之一,這進一步凸顯了能夠預測營運風險而非僅僅關注審計準備的治理模式的重要性

監管壓力的加大正推動這項轉型,歐盟的NIS2指令將與美國的資訊揭露要求和不斷擴展的CISA指南一同推出,直接將網路風險責任落實到董事會和高階主管身上。公司治理正朝著高階主管問責制的方向發展,韌性評估、事件準備和復原能力等指標將更頻繁地納入對領導者的期望,並與領導者的績效直接掛鉤。

對於工業運營商而言,更艱鉅的任務是如何將網路風險轉化為合理的投資決策。世界經濟論壇倡導的量化風險方法正日益受到重視,該方法將潛在的停機時間、安全影響和財務損失與資本規劃和保險策略聯繫起來。這使得營運技術 (OT) 安全支出不再被視為可自由支配的成本,而是一種具有可衡量商業價值的風險緩解措施

為什麼工業網路治理需要重置

隨著工業組織不斷創新,《工業網路安全》雜誌聯繫了工業網路安全專家,以闡明在未來 12 到 18 個月內,網路治理架構應該如何演變,才能將網路安全、營運安全和業務風險整合到一個統一的決策框架中。

Mandiant工業控制系統/營運技術安全諮詢業務全球負責人Paul Shaver在接受Industrial Cyber採訪時表示「治理模式應轉向統一的IT/OT風險委員會,讓安全工程師和首席資訊安全官(CISO)能夠就營運影響達成共識。」「企業應將OT特有的安全指標整合到標準的IT風險框架中,以確保網路安全決策以生產正常運行時間為出發點,這一轉變需要將IT的資料保密目標與OT對高可用性和人員安全的要求相協調。

Dragos的首席工業顧問 Peter Jackson告訴 Industrial Cyber,工業網路治理應該透過具有適當領域針對性的企業級風險管理規範來解決。傑克森強調:「董事會和高階領導應將工業網路安全視為GRC(治理、風險和合規)的常設組成部分,因為營運通常是核心業務,而網路風險會帶來安全、環境和財務後果。傳統的基於後果可能性的方法難以應對低機率、高影響的場景,因此領先的企業會建立專門的工業網絡風險管理項目,並由負責任的高管團隊負責,制定明確的路線圖,並將其納入規劃和預算流程。

Armexa總裁兼聯合創始人Jacob Marzloff在接受Industrial Cyber採訪時表示,企業需要從各自為政的治理模式轉向風險優先模式,優先應對最關鍵的威脅(無論是網路安全威脅還是營運威脅),並根據風險評估動態更新策略,跨團隊共享風險矩陣能夠確保在安全性和網路安全之間進行一致的權衡。監督工作應由跨職能的風險委員會集中負責,而非由單一領導者負責,從而確保IT、工程和運營部門的專業知識都能參與其中。該委員會在實際風險和治理之間建立反饋機制,從而增強韌性。

Ampyx Cyber總裁兼執行長Patrick Miller表示,應將所有關鍵技術(包括OT和IT)的網路安全提升到董事會層面的風險評估等級,企業是時候認識到網路事件可能造成的毀滅性損失了。

將網路安全問責制提升到合規之外

主管們探討如何透過結構改革和激勵模式,將網路韌性納入高階主管問責制,推動領導監督超越形式上的合規,走向清晰、可衡量的績效結果。Shaver 指出,要超越「勾選框」式的合規性,必須讓領導階層對營運彈性指標負責,例如網路事件後生產線的平均恢復時間 (MTTR)。

他補充說:高階主管激勵機制應與核心安全措施的成功實施掛鉤,包括核實資產清單和消除未經授權的遠端存取點。結構性改革應包括定期向董事會提交『基於後果』的報告,將關注點從抽象的威脅轉移到可衡量的生產風險,當網路韌性被視為績效KPI時,安全就成為業務的推動因素,而不是成本中心。」

Jackson指出,激勵機制是增強韌性的強大驅動力,但虛榮指標和形式主義的合規性是不夠的。更先進的組織會使用平衡計分卡,其中包括控制有效性、檢測/響應/恢復時間、已驗證的恢復目標、演練參與情況、路線圖交付情況以及作為ICS安全服務客戶的運營利益相關者的滿意度。

他指出,從結構上看,越來越多的首席資訊安全官 (CISO) 和營運技術安全主管正以高階主管級別的風險領導者身份開展工作,在董事會層面擁有更高的可見度。發展方向是注重結果問責,而不僅僅是關注活動本身。

Marzloff表示:將高階主管和業務部門的獎金與網路安全關鍵績效指標 (KPI) 掛鉤,類似於安全計畫。指標應包括培訓合規性、上次事件發生至今的時間、事件回應演練成功率以及風險評估完成情況」。鑑於網路安全事件現在需要向美國證券交易委員會 (SEC) 報告,公開表彰和類似於行為安全計劃的網路安全措施能夠強化期望的行為。將韌性作為一項可報告的指標,可以確保領導者根據結果而非僅僅是沒有發生安全漏洞來獲得獎懲。

Miller表示,現有的高階主管問責機制很多,通常都是向執行長和董事會報告。不妨在此基礎上增加韌性。可以考慮採用目前安全項目預期所採用的模式。

將網路風險轉化為投資決策

高階主管們探討了下一代治理策略如何使風險和後果建模真正可操作,將技術風險轉化為董事會層面的情報,從而為投資和政策決策提供資訊。

「新一代治理模式將技術漏洞轉化為董事會層面能夠理解的『經濟損失和停機時間』預測,」Shaver。透過將具體漏洞(例如網路分段不足)與特定生產單元的潛在損失進行映射,安全團隊可以清晰地證明防禦性投資的回報率,這需要全面了解攻擊面,並利用桌面演練或網路靶場來模擬攻擊的傳播方式。他認為,當技術風險直接轉化為其對物理過程和最終結果的最終影響時,就能產生可操作的情報。

Jackson表示:風險建模只有當它能夠驅動投資和優先級決策,而不僅僅停留在記錄簿上時,才能真正發揮作用。技術風險必須轉化為能夠將後果、風險承受能力和資金投入聯繫起來的商業語言。將諸如領結分析或流程危害分析等熟悉的商業工具擴展到網絡安全場景,有助於解釋安全措施可能受到的影響

Marzloff指出,公司治理必須將技術漏洞轉化為業務後果,諸如網絡領結模型之類的工具能夠以可視化的方式呈現威脅、後果和屏障,使董事會能夠直觀地了解風險。與實時數據相連接的動態模型可以顯示風險敞口何時超過可容忍的風險水平,從而支持針對高後果情景的明智投資和政策決策。

Miller表示:董事會層面的信息以業務風險語言的形式呈現,將安全性和韌性指標轉化為實際支出和損失,將使投資和政策決策更具可行性和實用性。

在日益嚴格的網路安全法規下,工業網路治理

隨著NIS2、NERC CIP、TSA 指令和其他全球監管框架等強制性規定加強監管,企業主管們正在分析工業組織如何調整其治理模式,以在日益分散的監管環境中保持靈活性。Shaver表示,各組織機構正逐漸摒棄孤立地管理NIS2或NERC CIP等單一法規的做法,轉而採用基於統一技術控制的「一次合規,多方滿足」框架。透過專注於基礎安全措施——例如建立可防禦的邊界和完善的事件響應計劃——企業可以創建一個穩健的基線,自然而然地滿足大多數全球性要求。這種集中式方法使企業能夠管理實際風險,而不是疲於應對不斷變化的法規。

Jackson表示:最成熟的組織會以強大的內部治理模式為基礎,然後將監管義務映射到該模式上,而不是圍繞每一套新規重建項目。必要時,會將特定國家的指導方針疊加到統一的內部基準之上。而不夠成熟的組織往往對合規標準的遵守程度很低。

Marzloff表示,定期風險評估的角色與安全審查非常相似,能夠提供網路風險的即時快照,從而為更明智、數據驅動的決策提供依據。像Cyber Bowtie這樣的視覺化工具能夠簡化複雜場景,方便不同利益相關者理解。將監管要求映射到NIST CSF等通用框架,可以減少重複工作,簡化合規流程。敏捷性源於清晰的溝通、以風險為中心的治理以及統一的框架,這樣組織才能在不忽視合規性的前提下快速適應變化。

Miller表示,工業組織應該摒棄按框架合規的做法,轉而採用統一的治理模式,設定共同的、前瞻性的安全目標,然後將這些目標與適用的法規相匹配。

以人為本的工業網路治理

高階主管研究治理策略如何使技術控制與組織文化和人的表現一致,並融入以人為本的設計和營運彈性的經驗教訓。

Shaver認為,治理的有效性取決於管理設備的營運人員;因此,策略必須包括協作、交叉訓練的團隊,並尊重工廠車間的文化。安全控制的設計應該支持而不是阻礙運營人員的工作流程,利用以人為本的設計,使‘安全的方式’也成為‘最便捷的方式’。

他還補充說,透過讓營運技術人員參與制定事件響應計劃和分段策略,可以建立一種共同責任和運營韌性的文化。當技術控制與日常運營的實際情況相符時,員工就會成為積極主動的網路安全意識防禦層。

Jackson強調:技術控制固然重要,但文化和人為因素才是決定性因素。將安全和網路安全融入設計之中,才能取得最佳效果,最大程度地減少摩擦。成熟的安全文化經驗非常具有借鑒意義:安全最有效的方式是將其直接融入運營簡報和決策過程中,而不是將其視為一項獨立的程序。工業網絡安全正逐步遵循這一路徑,從獨立的舉措轉變為運營技術(OT)運營的內在組成部分。

Marzloff體認到,單靠科技無法解決治理難題。成功始於訓練有素的人員和完善的流程,然後逐步加強技術控制。運用以人為本的設計理念來減少摩擦,提高採納率。結合直觀的設計、持續的評估和明確的激勵機制,構建安全和網絡安全文化。使框架與法規保持一致,以保持合規性和韌性。

Miller表示:有效的治理應該使技術控制與人們的實際工作方式相符,而不是與政策假設的工作方式相符。越來越多的組織正在將人為因素的績效原則融入到控制設計中,以支持操作人員在實際工作條件下的工作,而不是製造摩擦。

演算法控制時代的工業網路治理

隨著人工智慧驅動的自動化、數位孿生和預測分析改變工業監管,高階主管們關注的焦點在於如何定義一個能夠平衡自主性、問責制和信任的適應性治理模式。

Shaver說:性模型在創新與安全設計原則之間取得平衡,以保障營運的完整性。其目標是確保在採用新技術提高運營效率和生產產量的同時,絕不損害維持工廠正常運轉的核心安全保障。這種平衡確保了企業在享受創新速度優勢的同時,始終將安全和生產責任作為一項核心原則。

Jackson指出,人工智慧、自動化和數位孿生技術將改變工業監管方式,大多數組織對自主性帶來的影響都保持著謹慎的態度。在短期內,人機協作模式仍將佔據主導地位,人工智慧將增強而非取代人類的決策。管理機構應評估人工智慧專案是否會帶來超出容忍範圍的風險,並在必要時採取補償性控制措施或故障保護機制。

Jackson總結道,CISA 和 ACSC 近期發布的關於人工智慧在營運技術中應用的指導意見為此奠定了有益的基礎。最終,適應性治理旨在平衡創新與後果意識,力求使運營比以往更安全、更具韌性。

資料來源:https://industrialcyber.co/features/industrial-cyber-governance-hits-inflection-point-shifts-toward-measurable-resilience-and-executive-accountability/
 
分析工業網路安全治理的轉型趨勢,探討如何從傳統的合規導向轉向以可衡量韌性與高層問責制為核心的模式。