Fortinet 最新資安調查報告指出 OT 資安更成熟與重視且採用整合型平台比例提升

Fortinet 公布「2025年 OT 與網路資安現況調查報告」,報告指出全球企業組織的 OT 資安更成熟，且更重視 OT安全，採用整合型安全管理平台的比例亦大幅提高。

隨著工業 4.0 、萬物聯網等議題，改變許多行業風貌，其中許多原本獨立的生產環境與機台，便因此連接上網，卻也增加資安風險。這類被稱為 OT 環境與企業的 IT 不同，一旦出問題造成生產停頓，損失金額驚人，因此企業對於 OT 的資安比以前更重視。

Fortinet 近日公布「2025年 OT 與網路資安現況調查報告」（2025 State of Operational Technology and Cybersecurity Report），以全球超過 550位橫跨製造、能源、交通等關鍵基礎設施產業的 OT 專業人士為調查對象。調查報造指出，全球企業組織的 OT 資安成熟度顯著進步，對 OT 安全的重視度大幅提升，並且採用整合型安全管理平台的比例大幅提高。Fortinet 進一步為企業組織提出建議，協助企業組織加強整體資安。

(左起)Fortinet OT 事業拓展經理陳心怡、台灣區總經理吳章銘、資深技術顧問楊光明、FortiGuard研發中心台灣區經理林樂

Fortinet 台灣區總經理吳章銘表示：「身處半導體、AI等產業的核心位置，臺灣的企業組織應更重視 OT 安全。防禦威脅之外，更需確保安全營運、使產品資安符合國際越來越嚴謹的法規。我們觀察到優先投入 OT 安全的組織在遭遇威脅時，所受到的影響明顯下降。因此從組織管理層級到第一線員工，每個人都應有意識也有能力保護 OT 系統，守護關鍵營運。」

Fortinet「2025年 OT 與網路資安現況調查報告」有四大關鍵發現：

一、OT 安全重視度大幅提升，超過九成組織納入最高管理層職責：全球有越來越多企業計畫將領導企業網路安全的任務，納入資安長（CISO）或其他高階管理階層的職責中。隨著此責任不斷向高階管理階層轉移，OT 安全也升級至董事會注重的議題。目前有超過半數（52%）的受訪企業組織指出，已由資安長或安全長（CISO/CSO）直接負責 OT 安全。且有 95%受訪企業組織表示，已將此職責轉移至最高管理層職級(CxO)。計劃在未來12個月內，將 OT 資安劃入資安長職責範圍內的企業組織數量，從2024年的 60%增至80%。

資安成熟度今年顯著提升，營運中斷造成的損失減少

二、OT 資安成熟度顯著進步，營運中斷情況比例降至 42%：今年組織自評 OT 資安成熟度有顯著進步，26% 受訪企業組織表示已建立可視化與網路分段機制（第一級），且大多數企業自評資安成熟度，處於存取與識別階段（第二級）。報告亦指出資安成熟度和攻擊頻率間有相關性，成熟度較高的組織（第四級以上）遭攻擊的頻率較少，也更能處理如網路釣魚這類較低複雜度的攻擊。然而某些攻擊策略，像進階持續性威脅（APT）與 OT 惡意軟體等難以偵測，資安成熟度不高的組織，可能沒有適當的安全解決方案來察覺。整體而言，雖然近半數企業組織遭受網路攻擊的影響，但入侵對組織的影響下降，其中營運中斷造成損失的比例已從 52% 下降至 42%。

隨著資安成熟度提升，資安事件發生次數減少

三、過半數組織至少遭遇一次資安事件，網路釣魚、勒索軟體與專攻 OT 的威脅仍存在：雖然 OT 資安成熟度提升，OT 系統依舊是駭客時常攻擊的目標。其中 50% 的受訪組織至少遭遇過一次資安事件。攻擊者持續利用網路釣魚、惡意軟體以及 AI 驅動攻擊手法尋找營運系統的漏洞，其中勒索軟體仍是最常遇到的威脅之一。對以勒索贖金或國家利益為目標的攻擊者而言，製造業都成為首要目標，因其生產延誤能迅速變現。在 Fortinet「2025 全球資安威脅報告」中指出，製造業占所有針對性的攻擊事件的17%，高於其他產業。

四、整合型管理策略與減少資安供應商，降低風險與複雜性：資安成熟度不僅攸關流程，也與架構相關。如今越來越多 OT 團隊減少資安供應商的數量，2025年已有 78%的組織僅採用四家以下的 OT 資安供應商，代表企業組織明顯走向策略性整合管理的趨勢。而精簡化架構也展現成效，採用整合型平台安全架構的組織，其可視性更強、事件分類更快，並且顯著減少資安事件。Fortinet 客戶在 IT/OT 環境部署統一安全解決方案後，資安事件減少 93%，應變效率提升七倍。

多數受訪者預期五年內將面臨更多法規壓力

定期資安稽核顯示組織更有條理也優先重視合規性

隨著企業組織資安成熟度提升並更認真看待 OT 安全，也投入更多以因應合法合規性的變化。2025年，有 66% 的受訪組織認為，五年內相關法規將會增加。企業組織除了提升資安成熟度之外，實行基本網路安全規範、紮實培訓及資安意識，可顯著降低商業電子郵件詐騙。

為協助企業組織完善鞏固 OT 資安環境，Fortinet 為企業組織提供建議協助提升資安能力。首先打造網路區段或分段措施，以強化 OT 環境抵禦攻擊，並在各存取點部署強健的網路策略控制。ISA/IEC 62443等標準明確要求進行分段，以便在 IT 與 OT 網路之間以及 OT 系統之間實施控制，安全團隊應評估整體複雜性並運用具有集中管理功能的平台。

組織需清楚掌握 OT 網路中所有裝置，即建立 OT 設備可視性，並為關鍵或易受攻擊的設備，打造保護性補償控制，包括協定感知網路策略、系統間交互分析與端點監控。

OT 安全取決於對風險的即時偵測和精確分析，平台化安全架構應導入 AI 驅動的威脅情報，並確保納入 OT 專屬資訊，以即時抵禦新興威脅、攻擊變體和判斷風險。

組織應朝 IT/OT 安全營運的方向發展，將 OT 納入安全營運（SecOps）及事件回應規劃。然而 OT 和 IT 環境存在差異，如獨特的設備類型、OT 環境漏洞影響關鍵營運等，因此 OT 須成為安全營運及事件回應規劃的具體考量因素。組織應制定涵蓋 OT 環境的回應劇本，促使 IT、OT 和生產團隊加深合作，以共同評估網路與生產風險，確保資安長具備適切的意識、優先順序、預算以及人員分配。

最後建議組織要採用平台化安全架構，以免資安供應商過多導致安全架構過於複雜而降低可視性並加重安全團隊的負擔。而基於平台的安全策略，可幫助組織整合供應商、簡化架構，具備 IT 網路和 OT 環境的特定功能安全平台，可協助組織提升資安並達到集中管理與自動化防護。

Fortinet 的 OT 安全平台具備獨特優勢，單一平台即可提供從端到端的網路分段、OT 設備與網路可視性、網路區隔與微分段、進階威脅防護的全面能力，並支援集中管理與自動化操作。平台亦深度整合至 Fortinet 安全織網中，不僅提升整體資安韌性與生產穩定性，也大幅縮短部署時間、簡化營運流程，進一步協助企業組織因應不斷演進的網路威脅，強化關鍵基礎設施與 OT 環境防護。