智慧製造的推動可望提升製造業的生產效率與附加價值，資本設備與數位科技的投入也如火如荼進行，惟相關資安議題也應然而生。

在勒索軟體攻擊、惡意軟體滲透、釣魚攻擊等資安問題日益猖獗下，國際供應鏈業者紛紛遭殃，如美國默克藥廠（Merck & Co）與波音公司、日本豐田汽車，以及在台灣的台積電、合晶、華碩皆為曾受影響的案例。在智慧製造已成為不可逆趨勢之下，業者將須採取更積極主動的措施，管理相關資安威脅。

人工智慧是企業轉型助力，也是資安阻力

過去三至五年是人工智慧應用的爆發期，瑕疵檢測、預測性維護、原物料組合優化等成為製造業主要相關應用場域，人工智慧應用正加速企業轉型。但駭客也開始運用人工智慧、機器學習和自動化技術來強化攻擊能力。

在人工智慧快速發展下，駭客能夠降低端到端攻擊的週期，如從幾週縮短至幾天甚至數小時。以Emotet為例， 該惡意軟體能夠隨使用者需求調整攻擊方式，2020 年，駭客利用人工智慧與機器學習技術來提高惡意程式的能力。同時，人工智慧也降低勒索軟體的攻擊成本。

自2019年以來，勒索軟體攻擊的數量每年翻倍，一般研究機構多推測此與人工智慧之蓬勃發展有關。駭客能透過人工智慧強化軟體韌體、硬體植入惡意程式的攻擊範圍，鎖定企業配合的供應商及委外廠商進行大規模攻擊，使得企業檔案加密、外洩敏感資料、發動分散式阻斷服務更為容易，進一步提高駭客的目標式勒索能力。

製造業需與其他產業搶奪資安人才

對比於資訊系統（IT）在資安的經驗相對成熟，營運科技（OT）對於抵抗網路攻擊的韌性有明顯落差。面對資安議題，目前各行各業最為欠缺者為資安人才，製造業也不例外，甚至有過而無不及的情況。

根據國際資訊系統安全認證聯盟（International Information System Security Certification Consortium；ISC2）於2021年發布的資安人才勞動力研究報告，全球資安人才缺口高達272萬人。一般而言，企業召募資安人才通常採用自上而下的策略，首先延攬最高職位（如資安長／副總級別），然後再向下根據組織需求補充組織結構圖的初中階職位。但在資安人員短缺之下，企業未必能完整佈局相關人才，甚至出現即使召募部分資安人才，卻因人員完整度不足、組織架構錯置（例如將資安人才置於IT部門中）、職能與角色混淆等因素，導致人才專業不易發揮。

結語

由於一般的製造業過去對資安領域相對較為陌生，當資安標準瞬間提升時，業者同時必須兼顧供應鏈移轉與工廠資安議題，未來甚至民主供應鏈形成時，供應鏈資安也成為「Must Have」而非「Nice to Have」。

在人才議題上，製造業者應強調培養實用型、產業型，以及技術型資安人才。企業可從外部取得資源，除與資安業者合作外，亦可策略投資工控資安新創或國外資安業者，將這些企業融入部門或獨立成為內部訓練中心，在IT端與OT端分別強化其「可用性」與「可靠性」。若可有效IT與OT之資安防護，將可使製造業資安管理更上層樓。（本文為洪春暉、陳彥合共同執筆，陳彥合為資策會MIC資深產業分析師兼研究總監）