东盟的操作技术安全

东盟地区运营技术安全 编辑： 奥川敬太 小林义晴 东盟地区运营技术安全 东盟和东亚经济研究所（ERIA）Sentral Senayan II 6th楼层 Jalan Asia Afrika No. 8, Gelora Bung Karno Senayan, 雅加达中区 12710 印度尼西亚 © 东南亚及东亚经济研究研究所，2023年研究报告项目报告年度预算第19号，于2023年12月出版 版权所有。未经ERIA事先书面通知和许可，本出版物任何部分不得以任何形式通过任何电子或机械手段进行复制、存储或传输。 研究报告中各章节所表述的发现、解释、结论和观点完全属于作者/们的个人观点，并不反映东盟与东亚经济研究所、其理事会、学术顾问委员会或其所代表机构及政府的观点和政策。各章节在内容或引文方面出现的任何错误 solely 责任在于作者/们。 本出版物中的内容可自由引用或转载，但需适当注明出处。 作者名单 金森大介 经济学家，东盟和东亚经济研究研究所（ERIA），雅加达，印度尼西亚。 Hatakeyama, Yoichiro高级政策顾问，东盟和东亚经济研究所（ERIA），雅加达，印度尼西亚。 长谷川浩一管理总监兼合伙人，波士顿咨询集团，东京，日本。 副总监，波士顿咨询集团，日本，东京。石田政司 项目经理，波士顿咨询集团，东京，日本。田中 Eisuke 波士顿咨询集团，东京，日本。咨询顾问伊达 淳一 高级顾问，波士顿咨询集团，日本东京。远見山子 目录表 1作者名单 iii图列表执行摘要 vi当前操作技术安全状况 8第一章概述第二章第三章政策建议：关于东盟与日本在26项操作技术安全领域合作 附录32 表格目录 图1.1各国东盟成员国按行业划分的国内生产总值5图1.2东盟成员国GDP及其与日本的关系6图2.1IEC 6244312 执行摘要 本项研究纪念东南亚国家联盟（东盟）与日本友好与合作50周年，通过考察该区域运营技术安全的挑战并提出合作解决方案。日本的多国公司已在东盟和东亚建立了国际生产网络（IPN），在新冠病毒大流行期间表现出了弹性，并支持了区域经济。然而，保持竞争力需要解决诸如先进供应链数字化以及相应安全措施需求增加等挑战。运营技术安全风险、监管差异和管理框架是关键基础设施数字化中的全球关注点。为了提高IPN的竞争力，必须提高亚洲的网络安全弹性，优先考虑关键基础设施和制造业供应链的运营技术安全。本研究弥合了当前和理想状态间的运营技术安全差距，提出了政策建议，并为东盟与日本之间的合作贡献力量，以提升东盟的网络安全准备能力和IPN的可持续性。 虽然在东盟地区信息通信技术安全意识正在上升，但操作技术安全意识和准备仍然不足。在东盟，很少有国家作为一个国家启动了操作技术安全的倡议。新加坡已根据自己的标准基于国际电工委员会（IEC）62443，并且也已开发了与政府采购要求挂钩的操作技术安全产品认证。马来西亚从2023年开始开发自己的标准，采用IEC 62443。然而，在其他东盟国家尚未看到任何国家级的倡议。 关于东盟公司当前的运营技术安全水平，一些公司由于对加强治理的高度意识以及相关事件的发生而对此高度敏感，而另一些公司由于数字化延迟和对必要性缺乏理解而没有采取措施。全球公司和一些本地公司（例如，过去发生过运营技术相关事件的行业公司、与关键基础设施相关的公司等）倾向于参考全球标准采取自愿措施，无论是否存在本地标准。然而，有许多公司虽然理解运营技术安全的重要性，但由于成本高昂、缺乏专家或缺乏明确的政府指导方针，尚未采取系统性的措施。此外，还有许多本地公司由于对运营技术安全重要性缺乏理解而未采取行动。另外，还有一些公司由于工厂自动化程度低，无需采取运营技术措施。 与当前状况相反，理想情况下，应在整个地区推广提高运营技术安全性的协调努力，并且各政府应基于地区协议引入法规，并且企业应根据这些法规使运营技术安全措施成熟。在最近的趋势中，由于全球供应链的扩张，整个地区协调的重要性日益增加，如果各国和公司追求各自的优化努力，他们可能会失去全球商业机会。在此背景下，日本可以为解决东盟国家政府和公司难以解决的问题做出贡献。具体而言，人们认为深化 在以下两个方向提供支持。第一个方向是采用第三方视角培育和横向发展操作技术安全措施，例如举办政府、行业团体和大型公司聚集分享最佳实践的会议，或为大型公司开展网络安全演习。第二个方向是支持基于全球标准的共同东盟框架的发展，建立共同的公司和产品认证体系，以及采购要求的标准化，这有助于共同系统的发展。 第一章概述 1. 背景与目标 为了纪念日本—东南亚国家联盟（ASEAN）友谊与合作50周年，本项研究概述了当前面临的挑战，并提出了日本与东盟之间为解决操作技术安全问题的合作方案，操作技术安全已成为东盟地区的一个重要议题。 东盟与日本的官方友谊与合作始于1973年的日本-东盟合成橡胶论坛。在1985年《普拉萨协定》之后日元显著升值以及大约1990年信息与通信技术（ICT）的进步背景下，日本的多国公司在东盟和东亚地区建立了复杂的高级国际生产网络（IPNs）。来自日本对东盟地区的直接投资导致了产业升级和经济增长。由东盟和日本建立的IPNs在冠状病毒疾病（COVID-19）大流行（Oikawa等，2021年）期间展现了韧性，并在支持区域经济中发挥了关键作用。 虽然东盟和日本地区的强大IPN是显著竞争力的来源，但仍有许多挑战需要解决，以维持和增强这种竞争力。其中一项挑战是供应链的数字化升级以及相应所需的加强安全措施。全球范围内，关键基础设施的数字化引起了人们对操作技术安全风险差异、国家间的安全法规以及各种实体的治理框架的关注。 在东盟，对ICT安全的意识正在提高。然而，针对运营技术安全意识和准备水平的提升仍显不足。在亚洲提升网络韧性并优先加强关键基础设施和制造业供应链的运营技术安全是至关重要的。 提升东盟国家及其相关国家的安全水平至关重要，同时营造一个东盟企业能够轻松参与全球价值链的环境。因此，在短期内，有必要提高东盟国家的安全水平以及与这些供应链密切相关国家、行业和企业的安全水平。 这项研究阐明了东盟在运营技术安全措施方面的当前状态和理想状态，评估了当前状况与理想状态之间的差距，并随后考虑了提高运营技术安全性的政策。目标是促进东盟的网络安全准备能力的提升，以及IPN的可持续性。 2. 操作技术安全的重要性 根据国际电工委员会（IEC）网站，操作技术是指“用于控制和监控制造业、能源、交通和公用事业等行业中物理过程的硬件和软件系统”（IEC，2023）。具体例子包括用于监控和控制发电厂中电力流动的监督控制与数据采集系统；用于控制商业建筑中供暖、通风和空调系统的楼宇自动化系统；用于控制工厂中制造过程和装配线的工业控制系统（ICSs）；以及如交通控制系统等用于管理高速公路和城市地区车辆流动的交通系统。 网络安全措施在运营技术系统中被称为运营技术安全。在安全领域，有三个要素：“机密性”、“完整性”和“可用性”。机密性是指限制信息访问权限仅限于少数人；完整性是指保护信息免受未授权篡改；可用性是指允许用户在需要时访问信息。在ICT安全中，保护敏感信息的重要性是至关重要的，因此重要性顺序是“机密性”、“完整性”和“可用性”。另一方面，运营技术安全需要24/7/365全天候运行，因此重要性顺序是“可用性”、“完整性”、“机密性”。因此，确保设备更换和软件更新等安全措施的实施频率是困难的。此外，由于一些机器使用了数十年，它们往往会变成所谓的旧设备。在运营技术系统中使用的旧设备往往没有足够的内存来安装安全软件。因此，安全措施不足的设备可能会被遗留下来。如上所述，运营技术安全与ICT安全具有不同的特点，因此需要具体的讨论和措施。 3. 方法 本研究的首要目标是理解东盟各国当前的状况，也被称为“现状”。鉴于需要针对重点，我们选择了东盟区域内具体行业和国家进行考察。这一选择基于多个因素，包括参与运营技术的行业市场规模、它们相对的重要性以及各国的整体市场规模。 接下来，我们开展一项调查，旨在了解可能影响每个东盟国家以及所有东盟国家间共享的全球倡议。我们从政府和企业的角度审视每个国家的进展，重点关注与运营技术安全相关的标准、认证和培训的存续情况，以及企业安全措施的状态。 为了深入了解所期望的未来状态，也被称为“应然状态”，我们还研究了那些以其先进操作技术安全措施而闻名的国家，例如美国（US）、欧盟（EU）和日本。这为这些东盟国家可能遵循的潜在路径提供了一瞥。 该研究主要通过桌面研究和与国际专家及商业代表的访谈进行。这种组合方式有助于全面理解东南亚地区操作技术安全的当前和潜在未来状态。 4. 深度调查目标 在本研究中，我们选择了基础设施行业并且，制造业行业对于深入研究的目标，基于操作技术安全的必要性和市场规模。使用操作技术安全的必要性作为标准的原因是，确定当发生事故时对其他行业产生较大涟漪效应的行业应该是调查和政策考虑的重点。因此，基础设施行业被选为第一个主要的研究对象。使用市场规模的理由，从减少东盟地区操作技术安全风险的角度来看，同样，确定当发生事故时会造成大量损失的产业应该是调查和政策考虑的重点。因此，制造业被选为第二个主要的研究对象。 关于国家，我们选择了以下国家作为深入调查的目标：印度尼西亚、泰国、新加坡、菲律宾、马来西亚、并且越南基于名义国内生产总值（GDP）的大小及其与日本的深度关系。使用名义GDP大小的原因与缩小行业范围的原因相同：决定在发生事件时将遭受大量损害的行业应作为调查和政策考虑的最高优先级。使用与日本的深度关系作为标准的理由是因为决定给予那些可以预期措施有效性的国家优先权。因此，印度尼西亚、泰国、新加坡、菲律宾、马来西亚和越南，这些国家在2021年的名义GDP都超过3000亿美元，均被选中。 目标行业 在日本统计局划分的行业中，需要操作技术安全的主要是制造业，因为在工厂中工业控制系统越来越多地被使用，以及基础设施行业，在发电厂中监控和控制系统的使用也在不断增加。其他行业包括交通运输和仓储行业以及批发和零售行业，由于资产管理、运输方式和仓库自动化程度的提高，这些行业也存在操作技术安全的需要（TENABLE，2023a）。在房地产行业的建筑维护行业中，由于建筑管理系统可能遭受攻击的潜力存在，也存在这种需求。实际上，日本经济产业省（METI）已编制并发布了《建筑系统网络物理安全措施指南》（METI，2023）。此外，在特定医疗领域以及制造医疗设备的公司中，也存在操作技术安全的需求，这与制造工厂的需求相似（TENABLE，2023b）。 特别是，由于网络攻击的社会影响，基础设施行业对应对措施具有高度优先性。2010年9月，宣布一次网络攻击针对位于伊朗纳坦兹的一个核燃料设施中的铀浓缩离心机，据说这是世界上首次针对控制系统的网络武器（IPA，2020）。在能源领域，针对乌克兰电力系统的网络攻击在2015年和2016年导致了大规模的停电（野口和上田，2017）。2021年，主要向美国东南部运输汽油和喷气燃料的殖民管道系统遭受了网络攻击，迫使该系统关闭所有管道运营（白宫，2021）。 分析东盟成员国每个行业对GDP的贡献显示，制造业占GDP的20%以上（见图1.1）。因此，我们得出结论，制造业的操作技术安全风险较高。 目标国家 我们根据每个国家的GDP及其与日本的关联程度选择国家进行深入分析。对于后者，我们参考日本公司在本地的法律实体数量以及对日本的出口规模（见图1.2）。 印度尼西亚的GDP超过1万亿美元，而泰国、新加坡、菲律宾、马来西亚和越南的GDP超过3000亿美元。其余四个国家——缅甸、柬埔寨、老挝人民民主共和国（老挝）和文莱，其GDP都不到1000亿美元。在泰国，日本公司的本地子公司的数量也极高。在泰国、印度尼西亚、越南和新加坡，日本公司的本地子公司数量超过1000家，在马来西亚和菲律宾超过500家，但在其余四个国家的数量不到1