在這個無「網」不利的年代，各產業講求數位轉型，最基本的就是生產線上的資訊可視化，讓人員知曉現場即時狀況，而這需要讓設備聯網，許多製造業包括汽機車產業、機械產業等等已普遍使用，這固然會帶來不少效益，其收集的的大量資料也是重要的分析數據，也是企業突破生產瓶頸的關鍵點，這在〈生產瓶頸是個謎？用機聯網揭開藏在機台背後的真相！〉一文中已有詳述。然而在串連開通的同時，也等於開了一個的門戶，這些資訊的保管方式是否安全，端看企業如何看待及準備，有效降低資安風險。

星星之火可以燎原！知名企業也遭殃

自2020年疫情出現後，各產業開始改變以往的工作模式，一些駭客利用遠端工作、企業上雲等作業所產生的安全漏洞來進行不法之事，使得全球網路攻擊和威脅層出不窮，加上5G高速連網普及化，無論是手機或物聯網裝置，皆讓駭客有了更多可攻擊的漏洞。

近年來駭客攻擊對象轉向製造業，根據IBM年度資訊安全威脅報告，2021年全球製造業被攻擊的數量，首次超越金融業，其中跨國製造工廠與供應鏈相關企業成為駭客重點攻擊對象，而在2022年，全球共有447家製造業的企業機密資料曝光於洩密網站。根據調查，工控環境遭受攻擊平均損失金額約為3百萬美金，尤其是具備特殊關鍵技術的核心產業像是智慧工廠、車廠、藥廠等，損害最高、衝擊也最大。

其實台灣的《資通安全管理法》早於2018年就已公告，至今各企業是否真的做好資安防堵措施？知名企業如台積電，曾在《資通安全管理法》公告後的幾個月，因新機台安裝時未照SOP做好掃毒動作，以致病毒感染其他連結機台，爆發全台產線大當機的資安危機，因此不得不停止產線作業，依其產能來估算，停產損失約26億元，當時創下全台有史以來損失金額最高的資安事件，更影響了全球半導體產業鏈。

2020年中油內部資訊系統被駭客攻擊，使得全台中油加油站只能使用現金與信用卡交易。巧的是第二天台塑集團電腦也中毒了，所幸資安部門當下立即請所有員工關閉電腦與網路，並快速揪出病毒，災情並未擴大。同一年Garmin（台灣國際航電）也傳出中勒索病毒事件；2022年台達電系統也被駭客入侵，造成公司網頁、內勤系統電腦當機，在65,000台電腦中，約1,500台伺服器及約12,000台電腦被加密。而宏碁、廣達、技嘉等大型企業也在近年曾遭駭客攻擊。

縱觀以上資安危機案例，以及一般中小企業的組織規範，可得出大多數企業常有的資安漏洞，包括：

1.企業內部欠缺資安防護意識及警覺性

2.未有明確資安防護SOP及徹底實踐行動

3.設備資安防護力不足

4.專業資安人才的缺乏

據報導，資安專家假扮駭客的紅隊演練曾估算，平均4.41天就能進入企業內網，且成功率高達87%，因此企業千萬不要以為用了防毒軟體就等於做好資安防護。然而企業最常忽略的基本功是人員資安意識，除了教育訓練，平日還需搭配演練，就像防災訓練一樣，除了專業人員課程講解，還需要一次次的實地演練，讓所有人養成習慣。

企業資安防護之道，「人」與「物」同等重要

隨著不少大企業被鎖定攻擊後不斷加強資安防護，正在進行數位轉型的中小企業也開始成為駭客的目標，據報導，保險公司Hiscox 2022年的網路報告指出，2021年對大公司的網路攻擊略有下降，但在其他規模的組織卻增加了，特別是公司員工介於10~49名的企業，平均攻擊次數增加了近四倍。

企業資安防護因應規模、產業類別、供應鏈等不同，會有所增減，但基本防護著重的點無非在於「人」（人員）與「物」（系統設備）。

一、人員資安訓練從社交工程演練做起，尋求資安人才刻不容緩

「社交工程攻擊（Social Engineering Attack）」是指一種運用人性的弱點或信任的特質，以話術等互動方式來獲得使用者的敏感資訊（包括帳號、密碼、驗證碼、信用卡卡號等）的攻擊手法。我們在為企業進行社交工程演練時，會寄送釣魚信件作為測試，看看企業員工面對社交工程攻擊是否具有判斷的能力，然而一次實測之後再進行資安教育，當再次不定期測試時，仍然還是不少人落入圈套。

教育是條漫長的道路，因此教一次絕對不夠，下次測試或許還是會有人點擊下去，但也別灰心，透過一次又一次的訓練，做到員工養成習慣，習慣才會成自然，最重要的是確實提升員工資安意識，使之內化後，讓員工能有足夠的警覺性，培養更多思考與檢查的習慣，減少成為資安漏洞的機率。

那麼要如何取得較佳的演練效果？我們的建議如下：

．無預警實施演練

．結合時勢/公司活動議題

．搭配公司定期的資安認知提升訓練

．演練結果結合績效考核辦法

另外，2021年年底，金管會正式發布「公開發行公司建立內部控制制度處理準則」修正草案，要求上市（櫃）公司在2023年年底前，依照營運的規模與業務情況，如期配置一定比例的資安人員。因此，企業須配置具有資安知識、危機處理、溝通協調等能力的資安人才，以促進資安策略的推動。

二、設備環境的範圍擴大，並制定相關資安策略規範

以往企業辦公環境指的是公司內部的系統設備，但自從遠端辦公盛行以來，其安全性應包含遠端辦公環境、端點、行動設備、公有雲或多雲環境的安全。再者就是物聯網安全防護和電子郵件安全等問題，還需防止網路釣魚及社交工程攻擊、確保雲端應用和基礎設施安全。

一個企業完整的資安防護策略，須包含事前檢測、演練，並從中找出弱點進行改善，而在事發時運用監控讓執行人員在盡速發現並通報來止損，事後找出原因，並針對其漏洞強化資安防禦。雖然資安工程浩大，但畢竟企業的營利機密與生計息息相關，更可能影響上下游供應鏈甚至整個產業，故資安防護課題格外重要。

延伸閱讀：

工控資安的風險管理，製造業數位轉型階段的必須作為

混合辦公，成為資安的隱憂？

參考資料：

中小企業成駭客新目標！盤點企業必備的資安防護3大基本觀

TXOne Networks聚焦智慧工廠、車廠、藥廠三大關鍵場域，提供OT資安新思維

台積電三天痛失26億元的教訓！ 如何從機台中毒慘劇　變成全球半導體設備資安標準的總司令？

台達電被駭遭勒索4.1億元　估約1.35萬台電腦被加密