為什麼網路安全必須成為安全計畫的一部分

了解您的風險

如今，已認可安全及防護風險之間的連結為防護及安全的標準。網路安全標準ISA/IEC 62443-1-1提到，防護漏洞的後果可能不只是資訊外洩而已。該標準指出：「潛在的生命或生產損失、環境破壞、違反法規及危及操作安全是更嚴重的後果。 這些後果可能超出目標組織的預期；可能嚴重損害所在地區或國家的基礎設施。」

功能安全標準IEC 61508-1規定，與設備及控制系統相關的危險必須在所有合理可預見的情况下確定。這項標準規定：「這應包括所有相關的人為因素問題，並應特別注意異常或不常見的EUC操作模式。若危害分析確定構成安全威脅的惡意或未經授權的行為是可合理預見的，則應進行防護威脅分析。」

與安全性一樣，防護是基於管理風險的問題解決方式，利用持續性評估及基準來確保管理達到風險閾值。您可接受的風險等級將因產業及潛在結果而異。

考量到大多數網路安全攻擊都是只是因為攻擊者找到脆弱的目標，而不是以產業或知名度而鎖定特定目標，因此網路安全攻擊在幾乎所有產業都是實際可預見的情况。評估您的網路安全風險、確定您的可接受風險等級，並將已確定的風險降到可接受的等級，是目前基本的「合理」步驟，可幫助保護人們免於可預見的濫用及惡意或未經授權的行為。

與安全性一樣，忽視網路安全及相關風險，認為「如果我不知道有風險，我就不用對它負責。」是錯誤的觀念。這是無法接受的態度，無論在道德上還是出於合規目的，尤其是危及生命安全的時候。

共同應對風險

有些人將連網科技可能帶來的風險作為反對現代化的論據。但是，重要的是要認知不採取行動並不是辦法。長期維護舊系統不僅會剝奪您寶貴的洞察力及其他IIoT好處，而且這些系統還通常缺乏現代系統的安全措施，反而使它們更容易受攻擊，而不是比較安全。

更好的方法是充分利用數位轉型，作為流程的一部分同時幫助保安全性及防護性。當您這麼做的時候，請記住一些重點。

例如，許多安全措施在IT領域中早已採用，但對OT領域來說卻是全新的概念。而且，雖然許多緩解措施相比之下極其相似，但它們在前台的應用與在廠區的應用卻大不相同。

在製造環境中，網路安全及安全風險應該既是風險管理的一部分，也是變革管理(MOC)流程的一部分。EHS (環境、健康及安全)專業人員應參與管理流程，並遵守標準及法律。

這是工業的新時代。工業4.0的優勢肯定大於增加的風險。透過了解風險，並將緩解風險作為數位計畫的一部分，您可擴展營運的可能性，同時幫助保護對您最重要的內容。

了解更多關於工業安全的資訊。

洛克威爾自動化為ISA全球網路安全聯盟的創始成員，並已取得多項ISA/IEC 62443認證。