工業資安：從遭到擅改的位元組到工業意外事故

Andreas Willert，Pilz Austria產業資安主管

（檢查交貨）

隨著新EU機械法規（MR）的頒佈、即將施行的指令NIS 2與規劃中的網路韌性法案（CRA），對工廠、機械製造商、整合廠商與 操作人員來說，有一件事非常清楚：資安現在已成為法律要求！自2027年1月20日起，機械廠商在申請CE標章時必須保證機器的控制權受到充分防護，足以避免意外或蓄意損壞，並避免一切可能發生的危險情形。

萬事起頭難
法律規範要求相當複雜、深入且緊密結合。機器製造商及操作人員必須針對安全及資安修正其既有流程。沒有資安就沒有安全！
此外：IT資安與OT資安在目標與技術層面不盡相同。對（辦公室）IT來說通常機密性是最重要的資產，對OT來說最優先的則是可用性。此外，當提到工業資安時，各企業所具備的知識與成熟度也有所差異。因此網路伴隨了不同的攻擊層面。而且與安全不同，資安風險與其衝擊是抽象的。那麼，該如何開始？

一站式安全與資安
企業並非孤立無援：身為機械安全專家，Pilz已事先準備好面對即將來臨的資安要求。不僅針對客戶工廠與機械進行安全評估、分析及概念，同時也對機器進行工業資安檢驗，提供一站式解決方案。因此可避免措施分歧和不相容的解決方案。Pilz所開發的工業資安服務建構在經證實的機械安全服務流程之上，並以相關全國、歐洲與國際標準為基礎，當然也包括最佳實踐。Pilz協助企業準備就緒，安全邁向符合當前與未來法規要求之路。

我們都是從防護需求分析的形式開始：哪些法律適用？是否已經有負責人員？企業辦公室環境是否已獲得認證？下一步是決定當失去安全、機密性、完整性或可用性時，對人員及機器傷害的嚴重性。與安全評估的流程相似，接下來企業可採取後續步驟：風險分析、資安概念建構、落實，再到最後的驗證。

客製化支援
Pilz提供一系列針對安全及工業資安的各種服務。 因此服務已經就緒，為人員與機器提供涵蓋各層面的全方位防護。產品包括從基礎資訊及輔導，和「CESA（自動化資安專家認證」資格到「ISCS（產業資安諮詢服務」等培訓課程，提供落實機械規則新要求所需的實際支援。

舉例來說，過往經歷顯示必要的資安風險分析可能需要花上數週，甚至數月。
這也是必須立即落實工業資安的原因！