1

生命科學領域的

營運技術安全

2

對於任何企業來說，網路安全都是一項重大

威脅，但時至今日，只有少部分的生命科學

公司關注網路攻擊對其生產和製造環境帶來

的潛在風險。然而，生產和製造環境相互連

接和擴展，或是持續使用舊有的資訊系統，

都有可能導致重大的漏洞出現。生命科學公

司需要立即採取行動保護自身，從而在市場

中贏得競爭優勢。

作者

Piotr Ciepiela

安永物聯網諮詢服務執行總監，歐洲、

中東、印度和非洲（EMEIA）諮詢中心

安永商務諮詢（波蘭）有限公司

Anthony Bramwell

安永績效改善諮詢服務合夥人

安永瑞士

Leszek Mróz

安永網路安全諮詢服務經理

安永商務諮詢（波蘭）有限公司

Irina Kusnezow

安永網路安全諮詢服務經理

生命科學，安永德國

3

隨著營運技術（OT）安全受到

更多地關注，OT 人員的意識也

開始逐漸提高，然而一同提高的

還有駭客對於 OT 相關問題及漏

洞的知識和理解。

近年來，對於生產和製造環

境的網路攻擊日益增加。尤

其是現場監控管理系統，包

括分散式控制系統（DCS）

和監控和數據採集系統

（SCADA）更成為主要攻擊

對象。

很多生命科學公司希望透過

引入新科技來進行改善，如

提高生產和供應鏈效率，改

善資產管理水準，這在IT系

統和現場監控管理系統之間

形成了更為密切和開放的整

合，但將先前獨立的製造系

統接入網路並透過遠端支援

服務進行營運維護，讓網路

攻擊有機可乘，不僅是攻擊

的數量與日俱增，攻擊者的

手法也越來越老練。

隨著營運技術（OT）安全受到

更多關注，OT人員的意識也開

始逐漸提高，然而一同提高的

還有駭客對於OT相關問題及漏

洞的知識和理解。

與典型的企業IT網路和系統相

比，OT環境在安全、重要性以

及營運條件方面都有著非常不

同的要求，更加注重保障產品

品質和製造流程的持續性。OT

系統供應商傾向於使用經實際

證明的、可靠的科技而不是新

興科技，即使後者能夠改善效

率、提供更多功能或者擴展性

更好，例如，使用Windows XP

系統或一些更舊版本的Linux系

統，而非現行、修補過的作業

系統如Windows 10，或是使用

舊版本、未加密的Modbus串列

通訊協定。

4

圖 1：IT 和 OT 技術金字塔

業務和分析層面 例如，企業資源規劃（ERP）、商業智慧和雲端

OT 和 IT 整合與流程改善層面

監測和控制層面，例如，SCADA、DCS、製造執行系統（MES）和文件管理系統（DMS）

現場自動化層面，例如，可程式化邏輯控制器（PLC）和遠端資訊末端設備（RTU）

工業設備

5

圖 2：2015 年各產業 OT 安全事件占比

美國工業控制系統緊急應變小組（ICS-CERT）的資料顯示，健康照護和生命科學領域

的網路攻擊事件占比在2013年為0%，至2015年已提高到6% 1。

1 .美國國土安全報告指出，能源產業是美國網路攻擊發生頻率最高的產業（Energy sector tops list of

US industriesunder cyber attack, says Homeland Security report）， IoT Now，

https://www.iot-now.com/2015/03/12/30962-energysector-stays-top-of-the-list-of-us-

industries-under-cyber-attack-says-homeland-security-report/。

很少有企業出於安全考量

而更換提供高效率生產設

備的既有供應商。

從生命科學公司網路安全部門的

角度來看，OT似乎不是很受重

視。過去，OT系統被視為生產設

備的一部分而不是以電腦操控的

資訊系統，因此相關部門總是忽

略導致其故障的潛在原因，將OT

系統的最終責任指派給製造維運

團隊。在一些案例中，企業只考

慮「技術」方面的問題（如，防

護工具），但是在落實OT安全性

的過程中，「人為因素」的問題

往往更加顯著。

6

圖 3：生命科學領域的 OT 安全挑戰

各種類型的系統和供應商。

複雜的環境

OT安全可以推動業務發展而不

只是增加成本。

減少成本

即便是新上線的OT解決方案也

是在舊有的作業系統上發展的。

新的舊有系統

實驗室系統對於品質保證極其

重要。

特殊的實驗室環境

現有的安全架構很少涉及與生

產製造嚴格相關的OT領域。

OT 治理

目前普遍存在的誤解是「符合

GxP規範」等同於OT安全。

生技製藥管理規範（GxP）

7

實際上，製造業該如

何提供醫療器材最低

程度的安全保護，至

今仍然沒有良好的指

導作法和正式的法

規。

現有OT環境的一些特徵使其安

全性難以得到保障：

1. 複雜性

生命科學產業的製造和實驗室

設備供應商通常會使用各式各

樣的OT技術。此外，各個製造

商在系統或設備的選擇上擁有

很大自主權，而且企業會從併

購活動中獲得不同的系統。

這一點使企業很難在生產線中

統一規範並推動一致的安全措

施。相較於IT，系統專屬網

路、多網域和專用輔助系統

（例如，工程工具和備用解決

方案）需要更多資源才能達到

較高的成熟水準，同時，監控

和維持安全水準的複雜程度也

大幅提升。

2. 新的舊有系統

因為OT系統供應商更傾向於使用

經過驗證的、更可靠的科技，因

此在系統實施階段，一些OT系統

只能支援老式的、不安全的作業

系統，但是很少有企業出於安全

考量更換提供高效率生產設備的

既有供應商。另一方面，OT系統

供應商並不認為自己必須加強系

統的安全性能，而且生命科學公

司在系統採購階段也很少提出任

何安全性要求。

3.生技製藥管理規範（GxP）

GxP要求（一系列規範製藥產業

的品質條款和法規）包括大量基

礎的安全要求（例如與存取控制

8

隨著風險與日俱增和監管日益強化，透過更強的OT

安全性獲取競爭優勢的機會稍縱即逝。

相關的規範）。但是，這些要求

僅針對安全的三大支柱之一，即

生產和處理資訊的完整性給予規

範。

讓OT系統達到高可用性並維護

系統上敏感資訊的機密性需要增

加額外的安全控制。實施OT安

全管理系統需要新的OT安全流

程且需要與現有GxP規範流程保

持一致。相較於其他工業生產產

業，這樣操作會進一步增加複雜

性。

4. 物聯網革命及其對安全性的

影響（工業物聯網）

工業4.0革命正對製藥產業帶來

影響。由於能夠持續、即時地提

供關於製造流程和設備的資訊，

工業4.0革命為改善生產效益提

供了重要機會。然而，新物聯網

技術的應用同樣對安全性構成影

響。新的協定（包括無線通訊協

定）或網狀網路結構增加了網路

的潛在存取點，因此需要新的安

全防護方法。

5. 醫療器材

越來越多的網路事件與未受保護

的醫療器材有關，因此有關機構

推出了第一部安全指導方針。例

如，在2016年12月，美國食品

藥物管理局（FDA）發布《醫療

器材上市後網路安全管理指南》2，對安全性提出了高水準建

議。

但這只是問題的冰山一角。實際

上，至今仍然沒有任何能夠提供

給製造商關於醫療器材最低水準

安全性保障的良好指導作法和正

式法規，幫助其保障醫療器材的

安全性。因此，設備安全性較差

的醫院（甚至是那些體內安裝了

醫療器材的病人）就很容易成為

網路攻擊者的物件，間接或直接

威脅病人的生命安全。發布這些

缺失甚至是漏洞，公司的股價就

有可能出現大幅波動。2016

年，心律調節器的漏洞遭到揭露

以後，相關公司股價下跌幅度達

5%就是一個例子。3

結論

生命科學領域的製造成熟度已經

落後於其他產業，例如電力和公

共事業或石油和天然氣等產業已

經開始關注關鍵基礎設施的狀況

了。

對於生命科學領域的公司而言，

這種落後情形的好處在於公司可

以借鑒在此方面更成熟產業之經

驗，在市場上尋找能夠提供新科

技以緩解部分重大風險的新供應

商和工具。但與此同時，人力資

源市場上OT安全專業人士短缺

是目前所有產業面臨的挑戰。此

外，因為OT安全問題橫跨了公

司的製造和IT部門，因此如何讓

公司的權責架構、責任歸屬以及

最重要的，財務決策制定部門之

間達成共識，就成了公司內部的

主要障礙。

隨著風險與日俱增和監管日益強

化，透過更強的OT安全性獲取

競爭優勢的機會稍縱即逝。要抓

住快速自我改善和成功的機會，

企業的最高管理層必須給予OT

安全計畫最強而有力的支持和推

動。

2. Postmarket Management of Cybersecurity in Medical Devices, U.S. Food and Drug Administration, 2016, accessed via

https://www.fda.gov/downloads/medicaldevices/deviceregulationandguidance/guidancedocuments/ucm482022.pdf.

3. “Carson Block Takes on St. Jude Medical Claiming Hack Risk,” Bloomberg, 25 August 2016, accessed via

https://www.bloomberg.com/news/articles/2016-08-25/carson-block-takes-on-st-jude-medical-with-claim-of-hack-risk.

9

安永聯絡人

涂嘉玲

審計服務部 營運長 安永聯合會計師事務所

+886 2 2757 8888 ext. 88810 Lin.Tu@tw.ey.com

劉惠雯

稅務服務部 營運長 安永聯合會計師事務所

+886 2 2757 8888 ext. 88858 Heidi.Liu@tw.ey.com

何淑芬

總經理暨執業會計師 安永財務諮詢服務股份有限公司

+886 2 2757 8888 ext. 88898

Audry.Ho@tw.ey.com

黃孟光

總經理 安永諮詢服務股份有限公司

+886 2 2757 8888 ext. 88867

Mengkuan.Hwang@tw.ey.com

EY 安永 | Assurance 審計 | Tax 稅務 | Transactions 交易 | Advisory 諮詢

關於安永

安永是全球領先的審計、稅務、交易和諮詢服務機構之一。我們的深刻洞察力和優質服務

有助全球各地資本市場和經濟體建立信任和信心。我們致力培養傑出領導人才，通過團隊

合作落實我們對所有利益相關者的堅定承諾。因此，我們在為員工、客戶及社群建設更美

好的商業世界的過程中扮演重要角色。

EY 安永是指 Ernst & Young Global Limited 的全球組織，也可指其中一個或多個成員

機構，各成員機構都是獨立的法人個體。Ernst & Young Global Limited 是英國一家擔保

有限公司，並不向客戶提供服務。

安永台灣是指按中華民國法律登記成立的機構，包括：安永聯合會計師事務所、安永管理

顧問股份有限公司、安永諮詢服務股份有限公司、安永企業管理諮詢服務股份有限公司、

安永財務管理諮詢服務股份有限公司、安永圓方國際法律事務所及財團法人台北市安永文

教基金會。如要進一步了解，請參考安永台灣網站 www.ey.com/taiwan

© 2019 安永，台灣

版權所有。

APAC no. 14004197

本資料之編製僅為一般資訊目的，並非旨在成為可仰賴的會計、稅務或其他專業建議。請聯繫您的顧問以獲取具

體建議。

www.ey.com/taiwan