文化與能力的雙重危機

全球工業組織正處於一場日益擴大的營運技術（OT）網路安全文化鴻溝之中。這道鴻溝不僅是技術或工具的差異，更是根植於資訊技術（IT）對「數據機密性」的關注與營運技術（OT）對「系統可靠性與人身安全」的極端重視之間。當前的威脅環境，特別是地緣政治驅動的國家級攻擊和工業物聯網（IIoT）設備的爆發性增長，使得這場危機迫在眉睫。然而，只有極少數的組織（約14%）認為自己已為新興威脅做好了充分準備。這種普遍的低度準備狀態，暴露出IT與OT團隊之間持續存在的能力和文化鴻溝，嚴重阻礙了關鍵基礎設施的防禦能力，並將組織暴露在高昂的業務風險之下。本報告旨在深入剖析此文化鴻溝的結構性成因，並提出一套全面的、以營運韌性為核心的轉型策略。

 

核心危機與結構性問題的盤點

IT與OT文化脫節的根本性衝突

彌合營運技術 (OT) 網路安全文化差距仍然至關重要，因為只有 14% 的組織表示已做好充分準備應對新興威脅，這凸顯了 IT和 OT 團隊之間持續存在的能力和文化鴻溝。

這種日益擴大的 OT 網路安全文化差距持續影響著組織對準備和能力的優先排序，工業組織正面臨 IT 式網路安全衛生與 OT 可靠性需求之間日益加劇的脫節。有效的合作包括聯合風險評估和共享視覺化工具，以使網路安全與正常運作時間和安全性等營運優先順序保持一致。

平衡安全性和營運需要採取非中斷性幹預措施。鑑於製造商停機造成的平均損失高達每小時 88,000 美元，對網路分段和合規性的投資已成為當務之急。董事會需要簡潔的簡報，將營運技術 (OT) 威脅轉化為業務影響，例如供應商風險地圖和緩解成本，以指導資源分配。

現有標準著重於合規性，儘管圍繞營運技術 (OT) 和工業控制系統 (ICS) 環境的法規日益增多，但這些措施並未真正促進協作。由於實際營運情況往往限制了標準的實施，許多此類標準在縮小 OT 網路安全文化差距方面收效甚微。以下是本篇報導的內容摘要：

主要問題

• OT 與 IT 文化脫節：OT 領域偏重可靠性，安全措施常被視為干擾，制式合規流程難以落地。

• 可視性與資產管理不足：分散式工具導致可視性低、資訊碎片化，威脅偵測反應能力嚴重不足。

• 技術與合規能力落後：大多數設施修補時間 >30 天，37% 更超過 90 天；OT 資安成熟度普遍偏低（基礎／手動導向）。

• 治理與指揮鏈條不清：OT 安全常回報至 IT，無法與核心運營同步，導致反應低速與仲裁不一致。傳統決策開會含混，董事會不熟 OT 最新風險，難以導入有效策略。

• 人員技能與資源不足：50% 以上 OT 團隊資歷 < 5 年，51% 無 ICS 認證支援。僅 25% 將預算投入訓練與人才，造成技術落差與能力不足。

• 威脅快速演變：地緣緊張、IoT 滲透量（約 185 億）、國家級攻擊等使 OT 曝露擴增。合規手段太過死板，無法應對零信任與量子防禦等新技術需求。

 

營運環境的特殊性與安全部署的困境

OT環境與傳統IT環境的差異決定了其獨特的脆弱性和安全部署的難度。OT系統通常包含大量生命週期長、難以修補的遺留系統。在這些工業環境中，最壞的後果往往涉及人身傷害、生命損失或環境破壞，這遠高於IT環境中數據丟失的風險。OT操作人員的核心KPI是安全與正常運作時間（Uptime），任何可能導致停機或影響即時控制的網路安全干預都被視為直接威脅。

這種思維上的根本差異，使得許多IT團隊推動的標準化安全策略，如頻繁打補丁或使用高資源佔用監控工具，在OT現場遭遇強烈抵制。根據報告，有46%的案例中，由於遺留系統的相容性限制，OT環境無法實施先進的控制措施。此外，雖然58%的設施受強制性法規約束，但26%在審核中違規，凸顯資源不足造成的執行差距，這進一步加劇了OT網路安全文化鴻溝。

 

數據碎片化與資產可視性的盲區

「可視性與資產管理不足」是OT安全的致命弱點。在許多工業場所，OT資產（如PLC、RTU、HMI等）的分散式管理和監控工具的疊加使用，導致網路資產清單不完整、資訊碎片化。缺乏單一、可信賴的資產清單（Single Source of Truth），使得安全團隊難以進行有效的風險評估、威脅偵測和事件回應。當發生威脅時，資訊碎片化會嚴重拖慢決策和修復速度，造成「大多數設施修補時間超過30天，甚至37%超過90天」的嚴重滯後。這種緩慢的反應窗口對於面對高速傳播的工業惡意軟體而言是不可接受的。

 

彌合鴻溝的策略與實踐：從協作到韌性

為了有效縮小IT與OT之間的文化和能力差距，組織必須採取一套全面的、以營運為中心的方法，將網路安全從一個風險中心轉變為一個業務賦能者。這套策略需涵蓋治理、協作、技術與人才四個維度，完全實踐以下建議措施：

建議措施

• 建立 OT 專屬治理與權責：設立 OT 安全高層直報結構：賦予正式權限與資源，並定期向董事會報告 OT 業務風險、供應鏈風險圖、Downtime 成本。

• 強化 IT／OT 互動協作：建立共同風險評估與可視化平台：使用共享儀表板、資產盤點工具，兼顧安全與可靠性。

• 建立跨部門聯調流程：評估 ICS 與 OT 生產環境：制定不影響運轉的分段推補丁策略，落實無干擾控管。

• 投資 OT 專業能量與工具：人才培訓與認證：ICS/OT 專業資源招募與人員培訓（如 ISA99、GICSP），提高半成品。

• 簡化工具疊加現象：整合 IT／OT 監控工具，減少重複、提升反應時間。

• 修補流程與合規強化：減少 Remediation 時間：提高檢修與更新速度，縮短30~90天反應窗口。

• 結合 NIS2、TSA、美国 SEC 等要求，建立跨地域 OT 存取稽核。

• 採用現代控制策略：引入微分段、零信任及後量子技術：即使在遺留架構中，也能獲得較高防護能力。

• 建立攻擊圖視覺化：解釋威脅動機與成本，助於董事識別並改善資源分配。

• 解決人員與文化差異：推動共識型 training：邀請 OT 工程師與安全團隊共同演練，加強合作。

• 所有權刷新：以生產不中斷為前提，重新分配 OT 安全責任給 CISO、專職 OT 團隊。

 

建立以營運為核心的治理體系與風險溝通

有效的治理始於將OT安全視為「業務風險」，而非純粹的「技術問題」。這要求「建立 OT 專屬治理與權責」，確保OT安全不再僅向IT部門報告，而是提升至更高層級的直報結構，與核心營運決策同步。

轉化風險語言： 董事會對技術細節不感興趣，但對財務影響高度敏感。安全領導者必須採用業務語言，將OT威脅轉化為具體的財務指標，例如使用「風險價值（Value at Risk, VaR）」模型，以$500萬或$5000萬的潛在損失來量化風險，從而引導資源分配。報告應定期向董事會提供「Downtime 成本」分析、供應鏈風險地圖及緩解成本的投資回報率（ROI）。美國證券交易委員會（SEC）的規定已明確要求將網路安全風險像其他業務風險一樣進行討論和量化。

所有權的刷新： 「以生產不中斷為前提，重新分配 OT 安全責任」至關重要。CISO和專職OT安全團隊需獲得正式授權和資源，共同對OT系統的韌性負責。

 

強化跨部門協作與信任機制

文化鴻溝的彌合是技術實施的基礎。這要求IT和OT團隊必須建立「共同風險評估與可視化平台」，從而「強化 IT／OT 互動協作」。

共同理解與語言： 協作的起點是「互相理解」。網路安全團隊必須展現出「營運思維」，理解OT環境中人身和業務風險的嚴峻性，將OT系統的「安全」視為「可靠性與性能」的增強器，而非阻礙者。實際措施包括：

1. 實體同地辦公（Co-location）或現場參與： 安全人員花時間在工廠現場，理解操作限制。

2. 聯合培訓與演練： 舉辦「共識型 training」，如桌面演習和整合事件回應演練，讓OT工程師與安全團隊共同參與，在實戰中建立互信。

3. 共享工具與數據： 採用單一、整合的資產盤點與網路監控工具，讓維護與安全團隊從「單一事實來源」獲取資訊。這不僅「簡化工具疊加現象」，還能減少重複工作，提高事件回應速度。

 

實施非中斷性安全控制與現代技術策略的深度解析

OT環境中的安全干預必須是「非中斷性」的，即「保護營運而不妨礙其運作」。對於高可用性、即時性要求極高的OT系統而言，安全措施的首要設計原則是韌性防禦（Defense-in-Depth for Continuity）。

營運優先的縱深防禦架構

傳統的IT安全模型以「機密性（Confidentiality）」為核心，但在OT領域，**「可用性（Availability）」和「完整性（Integrity）」**居於首位。因此，防禦策略必須採取分層且非侵入性的方法：

1. 分區與隔離：網路分段與單向閘道

   • 網路分段（Network Segmentation）： 這是最基礎且關鍵的非中斷性控制措施。根據ISA/IEC 62443標準，OT網路應劃分為安全區域（Zones）和導管（Conduits）。

     • 微分段（Micro-segmentation）： 將單一區域內高度敏感或具有不同風險等級的資產進一步隔離，例如將控制層（Level 1）的PLC與操作員站（Level 2）分開，確保即使單一環節受損，威脅也無法快速橫向擴散至關鍵生產設備。

     • 實施方式： 透過工業級防火牆和入侵預防系統（IPS）在各分段邊界實施嚴格的協定深度檢查（DPI），特別針對Modbus/TCP、Ethernet/IP等工業協定進行狀態監測，而不是簡單的封包過濾。

   • 單向閘道（Unidirectional Gateways）： 對於最關鍵的生產數據層（例如從控制層到歷史數據伺服器或IT網路的數據傳輸），應採用物理強制隔離的單向設備。

     • 原理： 這些閘道器透過光學或電子設計，確保數據流只能單向傳輸。這從根本上防止了來自IT網路或外部威脅對OT關鍵控制指令的反向注入或影響，實現了最高的營運不中斷保障。

2. 非侵入式可視性與資產健康監測

   • 無代理偵測（Agentless Discovery）： 由於OT系統對代理程式（Agent）可能造成的資源消耗、性能衝擊和系統穩定性敏感，資產盤點和威脅偵測必須採用無代理（Passive）監測技術。

   • 被動監聽技術： 透過網路分流器（TAPs）或SPAN埠鏡像流量，使用專門的OT網路監控工具進行深度封包分析（DPI），從而識別網路中的所有資產、它們的組態、通信行為以及協定異常。這種方法既能獲得完整的「單一事實來源」資產清單，又不會對OT網路的即時性造成任何影響。

   • 日誌與事件整合： 透過集中的安全資訊和事件管理（SIEM）系統，整合IT與OT的關鍵日誌，建立攻擊圖視覺化，將來自IT的威脅情報與OT資產的行為模式結合分析，實現快速預警。

3. 零信任架構（Zero Trust Architecture, ZTA）在OT中的應用

   • 傳統OT網路大多基於隱含信任。現代OT環境（如遠端存取、IoT設備）要求引入ZTA理念，以最小權限原則和持續驗證取代傳統邊界防禦。

   • 實施範圍： ZTA不應實施在即時控制層，而主要應用於IT/OT邊界、遠端維護存取，以及管理層系統。

   • 遠端存取強化： 對於跨地域的 OT 存取稽核，必須使用多因素認證（MFA）、跳板機（Jump Servers）和應用程式級別的存取控制，嚴格限制每個使用者只能存取其完成任務所需的最小資源集。這種控制確保了即使憑證被竊取，威脅範圍也能被有效限制。

4. 修補流程的創新與風險評估

   • 解決「大多數設施修補時間超過30天」的痛點，需要「建立跨部門聯調流程」，將修補視為工程變更管理的一部分。

   • 流程優化： 在決定實施補丁前，必須在與實際生產環境高度相似的沙盒或測試平台上進行完整性測試和回歸測試，確保補丁不會導致ICS設備故障或操作不穩定。

   • 虛擬修補（Virtual Patching）： 對於無法停機或供應商不再支援的遺留系統，可部署虛擬修補技術（透過網路層的IPS規則或主機級的保護機制），在不修改核心系統檔案的情況下，阻止針對已知漏洞的攻擊。

5. 前瞻性技術儲備：後量子加密

   • 考慮到「威脅快速演變」和未來量子計算的潛在威脅，工業組織應開始研究和測試「後量子技術」。雖然目前尚未大規模部署，但對於生命週期極長的OT系統而言，確保未來的數據傳輸和驗證機制能夠抵禦量子攻擊是長期韌性規劃的重要一環。

透過這些非中斷性的技術策略，組織可以在滿足OT對可靠性極端要求的同時，大幅提高其網路安全態勢，最終實現安全與生產力並駕齊驅的營運韌性目標。

 

投資OT專業能量與人才建設

「人員技能與資源不足」是OT安全最大的瓶頸之一。

專業培訓與認證： 組織必須「投資 OT 專業能量與工具」，將預算投入到人才培訓上，招募並培養具有ICS/OT專業知識的資源。重要的專業認證包括ISA99/IEC 62443標準、GICSP（Global Industrial Cyber Security Professional）等，以提高團隊的專業素養和能力。

吸引與留住人才： 由於50%以上的OT安全團隊資歷少於5年，組織需要建立清晰的職業發展路徑，提供有競爭力的薪酬和充足的資源，以吸引和留住稀缺的OT安全專家，從根本上解決能力落差問題。

 

結論與前瞻：邁向OT網路安全韌性的未來

營運技術（OT）網路安全文化鴻溝的持續存在，是工業組織在面對新興威脅時最大的內生風險。從地緣政治緊張到工業物聯網（IIoT）的爆炸性增長，不斷演變的威脅環境要求組織必須放棄將網路安全視為單純的IT合規性問題的舊思維。

成功的關鍵在於將網路安全與營運韌性、安全性和效率融為一體，使之成為業務轉型和創新的基石。這需要從根本上改變IT和OT團隊的互動方式，透過共同的治理結構、共享的工具平台、以營運為導向的風險語言以及非中斷性的現代技術實施，建立相互信任和共同的使命感。當安全被「設計在早期」（Security by Design），而非後續「事後補救」時，它才能真正成為OT系統可靠性和連續性的保障。唯有如此，工業組織才能將其網路安全準備度從目前令人擔憂的低水準（14%）提升至足以應對未來挑戰的高度，確保關鍵基礎設施的安全與穩定運行。

資料來源：https://industrialcyber.co/threats-attacks/ot-cybersecurity-faces-widening-culture-gap-as-organizations-struggle-to-keep-pace-with-emerging-threats/