韌性是關鍵實體的優先考量

任何組織的營運中斷的方式不勝枚舉，而且與日俱增。 

勒索軟體「商業化」所帶動的網路攻擊擴散是另一個明顯的例子。但並非所有的潛在中斷都來自犯罪意圖。人為錯誤和意外仍然是導致營運中斷的最常見原因。

原材料短缺和全球互連供應鏈的中斷也會造成直接影響。我相信大家都還記得 2021 年 Ever Given 號貨輪被困在蘇伊士運河六天所造成的混亂。這份清單還會繼續列出各式各樣的問題，從關鍵機械和流程方面的故障，到地緣政治衝突、貿易戰等等。

因此，對韌性的需要已成為所有組織的優先考量。然而，對於那些提供任何方面的國家/地區關鍵基礎設施的組織而言，韌性已變得如此重要，以至於已成為監管的當務之急。 

因此，重點已由「關鍵基礎設施」擴大到「關鍵實體」，從而涵蓋這樣一些組織，只要這些組織在支援對國家/地區經濟或社會福祉具有核心作用的產業方面發揮一定的作用，無論所發揮的作用多麼微小。

對關鍵實體日益增加的監管要求

在歐洲，以網路安全為重點的「NIS2 指令」和更廣泛的「關鍵實體韌性指令」 (CER) 現已在歐盟成員國頒布為法律。兩項指令均對被定義為「關鍵實體」的組織提出了重大要求。此類組織是那些以任何方式參與提供被視為維護關鍵社會功能、支持經濟、確保公眾健康與安全以及保護環境的基本服務的組織。

這兩項法規有著深刻的關聯。這是第一次有兩項法規影響相同且明確定義的關鍵實體清單。不僅如此，這些法律還適用於這些組織的整個供應鏈，極大擴大了法規的影響範圍。

定義（並證明）「韌性」

歐盟委員會的 CER 指令將韌性定義為「關鍵實體預防、保護、回應、抵抗、減輕、承受、適應事故並從事故中恢復的能力」。

定義本身就突顯了要求的廣泛性。此外，當也考慮潛在營運中斷的原因的多樣性和數量時，再加上需要確保組織的供應鏈支援此韌性定義時，挑戰的規模就變得很明顯。

在基礎層級上，關鍵實體必須證明已全面瞭解其所面臨的所有潛在風險。這些風險的範圍包括，從對基礎設施的實體攻擊，到關鍵機器或元件的故障，以及介於兩者之間的一切風險。 

全面的風險評估，以及違規的潛在成本

關鍵實體需要每四年對這些風險的演變進行一次風險評估，再次評估可能會擾亂其提供基本服務的所有相關風險。 

無可避免地，關鍵實體本身進行的風險評估也會凸顯其供應鏈在韌性方面的角色。這將會造成風險評估的「瀑布效應」，因為關鍵實體本身為了符合法規對韌性的要求，必須要求其供應商展示出類似的穩健方法。

若發生中斷提供基本服務的事件，關鍵實體必須證明自己已採取適當的措施來避免、應對事件並從事件中恢復。 

若發現這些重要實體存在違規行為，或未能正確考量所有風險並做好應對準備，可能會受到重大處罰。NIS2 定義了高達 1 千萬歐元的潛在罰款，或關鍵實體所屬母公司或集團上一財政年度全球年營收總額的 2%，以較高者為準。對於違反 CER 的處罰將由個別國家/地區自行定義，但其規模很容易與 NIS2 的處罰相似。

溝通方面的公開性是法規的另一項要求。任何事故都需要報告，報告需要公開、透明地分享事故的性質、回應和解決方案。這樣做是為了使其他組織汲取經驗，並能夠調整自己的方法來緩解風險。

以網路技術支援韌性的需求

為滿足韌性的需要，關鍵實體正在重新考慮如何運用他們已有的基於 IP 的技術，包括影像監控攝影機、音訊設備、門禁管制解決方案、對講機、環境感應器等，以及日益先進的分析功能。

韌性定義的幾乎每一方面均可由此類技術加以支援，包括初始風險評估本身。透過分析網路視訊及其他連線裝置和感應器所建立的資料和元資料，建立起對幾乎所有可能帶來風險的情況的認識，這是提供法規所要求韌性的證明的必要因素。

由於影像品質和人工智慧分析技術的進步，事先更準確識別各種問題的能力得到了極大增強。如果管理得宜，所建立的數位資訊流可提升整體意識，這是預測和避免問題的關鍵。自動警報能夠實現快速回應和集中行動，這意味著可在威脅和潛在問題演變成事故之前加以解決。 

緩解整體風險狀況

儘管傳統的安防用例是影像監控發揮核心作用的明確範例，而更深入瞭解與分析環境的能力則可支援健康與安全以及營運效率方面的眾多用例。 

部署影像感應器、音訊感應器和熱感應器的組合，可為生產區域增加額外的透明度，並對關鍵資產（例如關鍵機械或製程）的問題及早發出早期警示。這樣就可在潛在故障發生之前予以修復，而長期收集的資料能夠支援關鍵資產的預測性維護。

未能遵守相關的健康與安全流程也是一項重大風險，任何事故都可能導致營運中斷。 強大的門禁管制 - 確保只有經過授權的人員才能進入監控地點的敏感區域 - 連同用以確保遵守適當健康與安全措施的分析，只是網路技術如何協助降低內部風險的兩個範例。

外部各方的物理攻擊經常成為頭條新聞，但大多數導致營運中斷的事件都是內部行為或故障的結果，通常是無辜的，但有時也是蓄意的。例如，研究一致表明，絕大多數的網路攻擊都是由人為錯誤造成的，而健康與安全事故、機器故障或供應鏈瓶頸通常也是如此。

網路安全仍然是關鍵風險領域

關鍵實體使用的任何技術都必須支援組織的整體安全勢態，並有助於降低網路攻擊的風險。設計用來保護關鍵實體營運的某個層面的裝置，其本身不應構成風險或漏洞。裝置在設計上應該是安全的，並且具有適當的流程來確保其在整個生命週期中盡可能安全，並且供應商和關鍵實體密切合作。 

廣泛和具體的監管愈來愈多要求這樣執行。其中包括「歐洲網路韌性法案」，此法案適用於直接或間接連線到網路的任何電子設備，從家庭中的智慧揚聲器到資料中心的伺服器，以及與關鍵實體具有更特定相關性 的 CER 和 NIS2 等法案。與明確承諾網路安全透明度的供應商合作至關重要。

韌性現在是必須具備的條件，而非選項

每個組織都應該關注提升韌性。即便在最好的情況下，任何營運中斷也會對盈利能力產生短期影響。在最糟糕的情況時，則可能會威脅到組織的整體業務。成本可以是直接的和間接的、有形的和無形的、可預測的和不可預測的。對組織聲譽造成的長期成本可能遠遠超過短期財務影響。

就關鍵實體而言 - 從醫療保健到金融，從水處理到能源 - 監管機構已經認識到這些服務供應中斷所造成潛在影響的嚴重性。對盈利能力的威脅是一回事：對公共健康的威脅則是完全不同的一回事。

新法規應該被視為具有正面的意義，但為了滿足這些新法規所需要做的工作也不容小覷。雖然規模較大的關鍵實體和組織已經開始起步，但整個關鍵基礎設施供應鏈中的許多其他組織還未開始著手。這些法規涵蓋了大量的中小型企業，其中許多企業可能缺乏遵守這些法規的知識、專業知識和能力。第三方的專業知識和技能可以提供協助，但很快就會供不應求。現在是時候採取行動了。