為城市流動建立隱形的安全防線

城市生活中的隱形防護網

通力首席資訊安全官 Petteri Rantanen 深入剖析智慧城市中瞬息萬變的網絡安全環境，並探討網絡威脅如何與升降機及建築物產生交集。他亦分享行業未來將面對的挑戰，以及將累積二十年的專業經驗帶入這個令人振奮的新領域的體會。

已發佈 20-06-2024

Petteri Rantanen in KONE meeting room, with colleagues discussing in glass wall rooms in the background. — 通力集團首席資訊安全官 Petteri Rantanen 認為，網絡安全是企業邁向未來成功的關鍵策略。

當人們提到網絡安全與升降機時，往往會聯想到最壞的情況。Petteri Rantanen，升降機是否真的有可能被黑客入侵？

幾乎只要在五分鐘內同時聽到「升降機」與「智慧城市」這兩個詞，大家就會問：是否代表有人可以令升降機突然下墜？坦白說，任何連接到數碼網絡的系統，理論上都存在被入侵的風險。然而，即使某個數碼元件遭到入侵，升降機本身仍設有實體控制裝置，防止其出現如電影情節般的墜下情況。此外，升降機亦配備多重數碼防護措施，包括多層次的安全控制及網絡分隔設計，全面保障升降機的運作安全。

Three people side by side typing on computers in office. — 網絡安全，指的是保護裝置、網絡及數據，免受數碼攻擊。

目前最常見的網絡安全威脅是甚麼？

各行各業正積極採用 IoT 物聯網技術，例如智能攝影機及家居自動化系統，以提升效率及節省成本。然而，這些創新同時帶來新的安全風險，整個社會仍在逐步應對與適應。例如，物聯網及營運技術（Operational Technology，OT）環境，如工廠內使用的設備，均容易成為網絡攻擊的目標。

我們每年都需要處理數以千計的網絡安全事件。網絡釣魚及惡意程式，包括病毒及勒索軟件，至今仍是各行各業面對的主要威脅。因此，我們必須時刻確保整體資訊科技環境保持穩健。

企業對第三方軟件及硬件供應商的依賴，亦帶來供應鏈相關的安全風險。近年來，相關風險顯著上升，因此我們會要求合作夥伴達到一定的安全水平。我們透過合約條款及保障審核機制，對此進行監察。

我們亦留意到一個趨勢，就是針對用戶端裝置（如手提電腦或手機）的攻擊，或透過數據攻擊入侵用戶帳戶。這正正涉及「個人網絡安全習慣」，每個人都需要培養良好的使用習慣，才能在數碼世界中保障自身安全。

Two KONE employees looking at tablet in factory. — 保護營運技術（OT）免受網絡安全風險影響非常重要，因為 OT 裝置及系統負責控制關鍵基礎設施及工業流程。

你在安全領域工作超過二十年，曾於 Mastercard Foundation 及 Nokia 擔任重要職務。這些行業的經驗，與你目前在通力的角色相比，有何不同？

在金融及電訊等行業，客戶普遍更清楚自身需要，從而推動創新發展。我認為，大多數企業都已理解保護個人及客戶數據的重要性，但在物聯網及營運技術裝置與環境的保護方面，往往未獲同等重視。老實說，大部分住宅住戶並不會特別關注升降機的安全防護，他們只期望升降機能如常運作。

對不少企業而言，如何在滿足客戶當前需求與確保未來安全之間取得平衡，確實是一個兩難局面。涉及關鍵基礎設施（如鐵路系統或機場）的客戶，正逐漸提升其科技及網絡安全意識，但在我看來，這個進程仍可加快。同時，相關法規的不斷演進，亦促使愈來愈多行業加深對網絡安全議題的認識。能夠將網絡安全視為未來成功的策略關鍵，並主動回應法規變化的企業，亦更能把握當中的發展機遇。

是甚麼吸引你加入通力？

我認為，通力在地域佈局及公共工業層面的發展，均相當獨特。對我而言，能夠在智慧城市、客流、物聯網及營運技術相關的網絡安全領域作出貢獻，尤其吸引。當然，通力作為一個具備悠久歷史與深厚底蘊的芬蘭品牌，本身亦極具吸引力。

通力的價值觀令我產生共鳴 —— 不僅體現在文字上，更體現在同事以開放、透明的方式溝通，並以實際行動跟進。

對於像通力這樣的全球企業而言，建立卓越網絡安全的關鍵是甚麼？

首先，是內部層面。在通力，這代表我們從一開始便將安全納入系統、工具及流程的設計之中，並確保符合行業標準及相關法規。

其次，是產品與服務層面，這主要由技術與創新部門以及研發工作所推動。是否存在任何漏洞？能夠迅速作出回應並加以處理，對我們及客戶而言都十分重要。

最佳的網絡安全，是在背景默默運作、毫不費力，讓你無需為此擔憂。

Group of smiling KONE employees sitting at their computers in meeting room. — 在通力，網絡安全是一種集體思維，亦是公司數碼轉型歷程中不可或缺的一環。

第三，我們正致力確保整條供應鏈具備足夠的韌性與穩定性，並能如預期運作，將最終產品交付客戶。

最後，是人 —— 包括我們如何溝通、分享資訊，以及培訓同事主動應對風險。在我看來，人正正是最大的優勢，亦是在多方面最重要的防線。其中一項重大挑戰，是確保具備足夠的能力與專業知識。目前全球網絡安全領域約有 250 萬個職位空缺。對於一個仍然相對年輕的領域而言，這反映出龐大的人才需求，而我們亦期待持續拓展自身的專業能力與多元性。

在不斷演變的數碼環境中，你如何看待通力在守護未來城市安全方面的角色？

我們的目標，是成為網絡安全領域的數碼領導者，並在業界發揮領導作用。將網絡安全融入日常運作，將是一段漫長的旅程，亦需要時間累積。不過，我們已積極測試、部署及監察不同方案，期望能為整個行業帶來裨益。

作為一名樂觀主義者，我相信在人工智能及科技的協助下，我們能有效處理網絡安全的一些基礎層面。我們可以在威脅偵測、分析及自動化方面取得更佳表現，同時兼顧高度效率與速度。

在我看來，最佳的網絡安全正是無形而自然地在背景運作，讓人毋須為此操心。如果網絡安全能自然融入市民的日常生活之中，便代表我們真正做得成功。

網絡安全速覽詞彙

Phishing（網絡釣魚）：假冒可信來源（通常透過電郵），誘騙他人提供敏感資料的詐騙行為。
Malware（惡意程式）：旨在破壞、干擾或未經授權存取電腦系統的惡意軟件。
Ransomware（勒索軟件）：一種惡意程式，會鎖定用戶的檔案或裝置，並要求付款以恢復存取權限。
IoT（物聯網）：由多種互相連接的裝置（如智能家居設備、穿戴式裝置及工業感測器）所組成，並透過互聯網進行通訊及數據交換的網絡。
Vulnerability（漏洞）：系統、網絡或應用程式中可被攻擊者利用的弱點。
OT（營運技術）：用於監控及控制實體裝置、流程及基礎設施的硬件與軟件，常見於製造業及交通運輸等行業。