Fortinet：留意OT安全漏洞 86%香港OT機構過去1年被入侵

網絡安全不再限於辦公室及個人生活，今天停電、停水、交通運輸大塞車有可能是黑客入侵所致。Fortinet香港、澳門及蒙古區域總監馮玉明表示：「我們的《2022 亞洲營運科技與網絡安全狀況報告》指出，營運科技 (Operation Technology，簡稱OT) 網絡安全的漏洞正為商界﹑IP及安全性帶來切實的影響。」86%的受訪香港OT機構因網絡入侵而在現實營運上蒙受損失，亦有56%表示其生產力受因入侵而引致的營運中斷所影響。

深入發現OT安全問題

馮玉明強調：「IT和OT融合而令攻擊面擴大，OT環境的安全已變得不可或缺。」自動化網絡保安服務方案供應商Fortinet發表了《2022亞洲營運科技與網絡安全狀況報告》，該報告針對今年亞洲營運科技與網絡安全狀況，於2022年8月對300多名亞洲OT專業人士進行的調查，其中50人來自香港。該調查針對負責OT及OT安全的領導人員，包括經理至高級主管。受訪者來自各種大量使用OT的行業，包括製造、運輸和物流以及醫療保健。

Fortinet 東南亞與香港資訊安全總監鄺偉基 (Daniel Kwong)指出，報告顯示工業控制環境繼續成為網絡犯罪份子的目標，香港86%的OT機構於過去12個月曾經遭受入侵。這凸顯了一個企業內部矛盾問題，今天香港仍是CEO進行安全投資決策，而一旦出現安全事故則由CIO、CISO等處理及承擔責任。為扭轉這個局面，CIO、CISO則要積極提出安全建議。

該報告除了揭示廣泛的工業安全漏洞，並提供改善的機會。重點如下：

• OT活動缺乏中央可視性，導致安全風險增加。Fortinet報告發現，只有12%的香港受訪者能夠中央管視所有OT活動。此外，64%的香港機構表示高度憂慮OT環境中的惡意程式。報告結果顯示，缺乏中央可視性會加劇機構的OT安全風險，並削弱安全狀態。
• OT安全入侵嚴重影響機構的生產力及利潤。香港機構面對的三大入侵類別分別為網絡釣魚電郵、惡意程式及手機保安漏洞，這些入侵為56%的受訪機構帶來營運中斷，大大影響其生產力。86%受訪者表示需至少數個小時令服務回復正常，更有21%表示需時數天。此外，三分一受訪者反映因安全入侵而令收入及數據受打擊，同時影響合規性及品牌價值。
• OT安全的掌控權於不同機構之間並不一致。根據Fortinet的報告，OT安全管理主要由於總監或經理級員工負責，涉及工廠營運總監到製造營運經理。只有38%的香港受訪者表示其機構的OT 安全由首席資訊安全主管 (CISO) 負責管理。
• OT安全正逐步改善，但許多機構仍存有安全漏洞。當被問及機構OT安全狀態的成熟程度時，只有32%的本地機構已達至第4級，即他們的網絡安全流程持續因應既有流程的反饋而持續改善，當中包括優化過程 – 於亞太區的平均水平。此外，幾乎所有 (96%) 的本港企業均擁有1,000至10,000台由IP支援的OT裝置在運作，使情況更加複雜。再者，本地機構在使用多種OT安全工具時面臨挑戰，進一步擴大他們的保安漏洞。

OT安全是企業層面的問題

隨著OT系統逐漸成為網絡犯罪份子的目標，高層領導意識到保障OT環境減低機構風險的重要性。工業系統傳統上與IT和企業網絡氣隔封閉 (air-gapped)，但現在兩類基礎設施正互相整合，成為一項重大的風險因素。隨著工業系統連接互聯網，並變得更容易從任何地方存取，機構的攻擊面正顯著增加。

隨著 IT 威脅型態變得更為精密，連接網絡的OT系統亦需面對與日俱增的威脅，變得更加脆弱。IT和OT的結合，使不少機構重視工業安全的風險。OT 安全成為管理層日益關注的問題，使機構更迫切地全面保障工業控制系統 (ICS) 和監督控制和數據採集 (SCADA) 系統。

克服OT安全挑戰的最佳守則

Fortinet 的《2022 亞洲營運科技與網絡安全狀況報告》指出機構應對 OT 系統漏洞及強化安全狀態的方法。他們可透過以下方式應對 OT 挑戰：

• 建立零信任存取以防止數據外泄。隨著越來越多工業系統連接到網絡，零信任存取方案可確保任何沒有合適憑證和權限的用戶、裝置或應用均不能存取關鍵資產。零信任存取方案亦可進一步預防內部和外部威脅，以提升OT安全成效。 
• 採用能把OT活動可視性集中化的方案。為所有OT活動提供集中化和端對端的可視性是確保機構能強化安全狀態的關鍵。Fortinet報告顯示，去年稱沒有遭受入侵的頂尖機構佔整體受訪者6%，而與其他遭受入侵的同儕相比，他們達成集中化可視性的比率高超過3倍。
• 整合安全工具和供應商以融合於不同環境。為了消除複雜情況並達至所有裝置的集中化可視性，機構應尋求把OT和IT技術整合以減少供應商數目。透過綜合安全方案，機構可減少攻擊面並改善安全狀況。
• 部署網絡存取控制 (NAC) 技術。於去年，能夠避免入侵的機構有較大比率部署了NAC，確保只有獲授權的人士能存取關鍵系統，保障數碼資產安全。

Fortinet安全織網保障OT環境

Fortinet香港、澳門及蒙古區業務發展總監徐思俊 (Lawrence Tsui) 表示，OT安全涉及IT人員不熟悉部份，可先找安全專家諮詢建議及制定安全方案。例如，機構可透過Fortinet 安全織網為複雜基礎設施制訂安全設計，能以高效、非入侵式手法確保OT環境安全和合規。工業機構亦可憑藉完全的整合以及共享威脅情報，迅速並自動地回應任何媒介的攻擊。Fortinet安全織網覆蓋整個融合的IT-OT 網絡以消除OT安全漏洞，帶來完整的可視性及簡單的管理。