觀點
專訪 – Fortinet 台灣區總經理吳章銘
數位轉型無疑是企業或組織單位在數位化時代下維持競爭力的一帖良藥。在製造相關的產業裡,隨著工業網路、AI、大數據的發展,企業及組織單位已經體認到可互聯的 OT/IT,可以帶來與以往不同的效率甚至利潤。然而 OT/IT 融合是一個需要分階段實施、逐步提升層次相當緩慢的進程,尤其是在「資安」的層次上。
Fortinet 台灣區總經理吳章銘是 IT 人,卻早在 2015 年就開始接觸 OT 資安領域,他這幾年親眼所見 OT/IT 的思維差異,「OT 人會認為在 IP 類的部分放上防火牆就是 OT 資安了,而且到現在還是有這樣的思維。」

Fortinet 台灣區總經理吳章銘:「最重要的是一定要能證明導入資安的方案不會影響工控系統的高可用度。」
聽起來或許令人驚訝,但吳章銘認為這是 IT 與 OT 需求目的不同而使然。IT 著重即時性,設備通常 3-5 年汰舊換新,週期性的固定更新補丁,並且有強制、頻繁的稽核檢查。而 OT 則看重高可用性,設備壽命往往長達 20 年。因為停機停產的代價巨大,產線的穩定度一定是優先。
「OT與IT的語言是不一樣的。」
吳章銘舉 Layer (層級) 為例,IT 的 OSI Layer 跟 OT Purdue Model (普渡工業控制階層模型) 的 Layer 完全不同。與 OT 人溝通時運用的語言很重要,以安全和穩定性為核心宗旨,再輔以 OT 協定、OT 運營角度和語言來切入,來消除對談第一層的隔閡。
普渡工業控制階層模型其實是IT與OT溝通很合適的橋樑,因為它基於OT環境的階層區隔定義,且橋接了IT與OT的功能框架。最上層的『業務與企業管理層』,通常含括ERP、CRM這類與IT高關聯的系統。中層的『製造維運與控制層』就是OT/IT融合的關鍵層次。最下層的『裝置與程序控制層』則是純OT的領域。

優異的OT資安解決方案必須建立在生態系上。
看好台灣OT資安的市場發展,吳章銘說Fortinet第一季OT資安業績已占比超過10%的台灣整體業績,這是往年都沒有的情況。他更預估今年一整年可以占比超過15%。吳章銘分析,符合OT工規的硬體、在台灣本地的威脅情資中心、專業的OT人才、完整的OT資安生態系是Fortinet四大利器。
最後,吳章銘強調實務上,威脅手法日新月異,工控資安不可能做到百分之百防護,主要是要降低風險、減緩衝擊,並具有備援的運作模式。工控系統特別重視可用性,在看待各種OT資安的措施時,不單是要留意該如何防護,還要具備快速復原的能力,使系統能儘快回復運作。
文章來源:本文同步刊載於「資安人」:
https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=9871