智慧製造是利用人工智慧、機器學習、物聯網等技術，將工廠的生產流程自動化、智慧化。智慧製造可以提高生產效率、降低成本、改善品質，並增加企業的競爭力。

然而，智慧製造也面臨新的資安挑戰。駭客可以利用工控系統的漏洞，遠端控制生產設備，甚至造成生產中斷或安全事故。例如，2016年，烏克蘭的一家電廠就遭到駭客攻擊，導致電廠停電，影響了數萬戶居民，該事件被一些安全專家認為是電網資安史上的里程碑，證明由駭客造成大停電般的電影情節是真有可能在現實世界中發生。

目前的駭客新興攻擊模式包括釣魚攻擊、勒索軟體，AI的深度偽造 (deepfake) 和自我學習型態的駭客攻擊。舉例來說，具有代表性的攻擊案例是 2017 年的 WannaCry病毒，該勒索軟體在全球造成巨大影響，並導致許多企業和公共服務機構中斷。而有一種被稱為”Deepfake”的AI攻擊技術，可以製作出令人信以為真的假影片或聲音，進行詐騙活動。例如，2019 年有一間英國的能源公司就被一個假冒公司 CEO 的 AI 生成語音詐騙了 24 萬美元。

另一種數位分身 (Digital Twin) 和 AR 等虛實整合技術，可能增加未授權訪問系統的風險，或駭客利用數位分身來規劃實體攻擊或偵測系統弱點。AR 可能導致隱私權和智慧財產權的問題，並能導致敏感性資料被盜取或竄改。

數位分身常被用於類比工廠的營運及改善生產流程，如GE就用數字分身來改善風機的效能。AR則被用於協助維修作業，例如波音公司就用AR頭盔來協助維修飛機。如果這些技術被駭客攻擊，數位分身的模擬結果可能被篡改，導致不正確的決策。例如，如果風機的數位分身資料被駭客篡改，可能會導致風機過早損壞，影響能源供應。數位分身和AR的資料可能包含重要的商業秘密，如果被駭客盜取，將對公司造成重大的經濟損失。

AI就像雙面刃，妥善運用生成式AI可以用於偵測異常行為、預測與模擬未來的攻擊模式以用來訓練防禦系統，以及自動化的回應攻擊等。例如，Deep Instinct公司就使用深度學習來預測和防止未知的威脅。AI還可以用於提高威脅偵測的精確度和速度，如 Darktrace 公司就使用 AI 來進行即時的威脅偵測和回應。

智慧製造的資安防護目前處於快速發展的階段，企業正在不斷導入新的防護技術，如零信任機制、AI防護等，著重於提高偵測速度和應對能力，並且將保護擴大到整個供應鏈。 零信任架構是一種安全架構，它假設任何人都不值得信任，即使是內部人員也需要進行身份驗證和授權。零信任架構可以幫助企業在發生資安事件時，快速有效地阻止駭客。

因此企業應該透過定期的風險評估和弱點掃描，以瞭解工控系統的資安弱點。 再來可以透過升級軟硬體、提高員工的資安意識，以及導入最新的資安解決方案來強化防護。  就現階段的法規制定趨勢而言，強制性與自願性的資安標準併用是目前的趨勢，如美國的總體評估和風險管理法案 (Cybersecurity Maturity Model Certification, CMMC) 與 IEC 62443。

採用何種資安標準主要取決於企業的需求和目標，如ISO 27001、NIST、IEC 62443都是常見的資安標準，另外有 ISA security 標準，例如其資安管理要求 SDLA（Security Development Life Cycle Assurance），這也對應到 IEC 62443 的 CSM（Cyber Security Management）。

以 IEC 62443 來說，透過定義一系列的安全等級和控制措施，提供了一個全面的工控系統資安框架。它的重點包括系統整合、風險評估、安全等級確定、以及防護措施的選擇與實施。它將工控系統的安全分為多個層次，並為每一層提供詳細的安全建議和要求。防護重點包括網路分離、身份驗證、資料加密等。

Level 3/Level 4 在工控領域比較少見，該做到什麼等級是從風險評估結果得出的；Level 3/Level 4 的要求高，通常是用在國家層級的基礎設施，或核電等環境，其風險及成本也相對較高。主要挑戰在於如何整合並教育組織內的所有成員理解並實踐這些標準。同時，這也需要較高的投資成本和專業技術知識，且可能暫時帶來生產效率下降的情況。

在追求更高資安防護的同時，企業也要注意平衡生產效率和資安保護之間的關係。過當的安全措施可能導致生產效率下降，反之，若欠缺防護產生安全漏洞，可能帶來重大損失。因此，企業需要進行全面的風險評估和成本效益分析，以確定最適合自己的資安策略。

未來將會有更多的產業開始實施工控系統的資安措施，例如能源、交通、水資源管理等關鍵基礎設施領域。駭客攻擊的趨勢會依據新興技術的發展以及社會經濟情況變動。 隨著 5G 和 AI 的普及，我們可能會看到更多基於這些技術的攻擊。因此，與時俱進，持續研究新的威脅與解決方案仍是必要的，歸納要點如下：

• 持續更新並強化工控資安軟硬體，識別安全漏洞以防範新興資安威脅
• 提供定期的資安培訓，以提升員工對最新威脅的認識與應變能力
• 參與行業交流與合作，共用資安資訊，共同提升行業的資安水準
• 應用最新的AI技術來強化資安防護，例如，利用生成式AI來偵測異常行為或預測攻擊模式

企業建立健全的資安應急應變計劃是重要的。雖然我們可以盡力預防駭客攻擊，但無法保證完全防範所有威脅。因此，當發生資安事件時，擁有明確的應急應變計劃可以幫助企業及時應對並減少損失。

除了工控系統的資安保護，企業也應該注重供應鏈中的安全風險。供應鏈的漏洞可能成為駭客攻擊的入口點，導致整個產業鏈受到影響。因此，建立起完善的供應鏈資安措施是至關重要的；智慧製造是複雜的系統所集成，需要企業與政府的共同努力來保障其安全。企業需要加強資安意識，並採取有效的措施來保護工控系統。政府需要制定相關法律法規，並提供資助和支持，幫助企業提升智慧製造的資安水平。

廠商常見的挑戰包括缺乏相關知識、資源不足以及規劃不完全等，德國萊因可提供一站式的認證服務，包括培訓、技術會議、審核認證等，我們可以協助您建立 CSM或產品認證，與世界趨勢接軌，取得歐規和美規的認可，滿足客戶對資安的要求，確保客戶的資產和數據得到最大程度的合理保護。