社會-網路-實體系統

社會-網路-實體系統（Socio-Cyber-Physical Systems, SCPS）是網路-實體系統（CPS）的延伸概念，其核心定義在於強調「人」與「社會」層面在系統中的關鍵角色。傳統CPS主要關注運算元件（網路）與實體致動器、感測器（實體）間的閉環回饋控制，而SCPS則將人類操作員、使用者行為、組織架構與社會規範等動態因素納入系統模型。此概念的興起源於在智慧電網、關鍵基礎設施等領域中，人為失誤或惡意攻擊（如社交工程）已成為導致系統失效的主要原因。在風險管理體系中，SCPS風險評估超越了傳統僅專注技術漏洞的範疇。例如，美國國家標準暨技術研究院（NIST）的《網路實體系統框架》（Framework for Cyber-Physical Systems）雖為CPS奠定基礎，但SCPS的風險分析更需整合NIST網路安全框架（CSF）中的「人員意識與培訓」（PR.AT）及存取控制（PR.AC）等要求，並結合社會科學方法論，以全面評估因人機互動、信任模型及組織文化所衍生的新興威脅。這與僅關注數據處理的資訊系統（IT）或專注機械控制的操作技術（OT）有顯著區別，SCPS強調三者與社會層面的深度耦合與相互影響。

企業在實務中應用SCPS風險管理，可遵循以下三步驟，以建立整合性防禦機制。第一步為「整合性系統盤點與繪圖」，需跨部門（IT、OT、HR、法務）協作，識別系統中所有社會、網路與實體元件及其交互介面，例如：繪製出電力系統中，操作員（社會）如何透過人機介面（網路）控制實體斷路器（實體）的完整流程圖。第二步為「混合式威脅情境建模」，結合傳統攻擊樹分析與人性弱點分析，模擬攻擊者如何利用社交工程騙取操作員憑證（社會-網路攻擊），進而癱瘓實體電網（網路-實體影響）。此步驟可參考MITRE ATT&CK®框架，並擴充涵蓋針對人性的攻擊手法。第三步為「部署分層式整合控制措施」，根據建模結果，同時部署技術與非技術性控制措施。例如，除了強化網路防火牆規則（技術），更需導入符合ISO/IEC 27001附錄A.7規範的強化人員安全審查與持續性資安意識培訓（非技術）。一家歐洲能源公司導入此方法後，其年度釣魚郵件演練的員工上當率從18%降至4%以下，顯著提升了對社會-網路攻擊的韌性，並確保符合歐盟NIS2指令對於人員安全的要求。

台灣企業在導入SCPS風險管理時，主要面臨三大挑戰。首先是「組織壁壘與權責不清」，IT、OT與廠務環安等部門長期獨立運作，缺乏橫向溝通機制，難以對跨領域的SCPS風險進行統一評估與管理。其次為「專業人才匱乏」，市場上極度缺乏同時精通資訊安全、工業控制系統與人類行為心理學的跨領域專家。第三是「重技術、輕管理的文化」，企業普遍投入大量預算採購資安硬體設備，卻忽略了最脆弱的環節——人，導致資安意識培訓流於形式，無法有效防範社交工程等攻擊。為克服這些挑戰，建議的對策如下：一、建立由高階主管支持的「跨領域風險委員會」，強制要求IT、OT及HR等部門定期召開協作會議，共同制定風險應對策略，預計3個月內可建立運作模式。二、推動「內部賦能與外部合作」，對內開設跨領域培訓課程，對外與學術機構或專業顧問公司合作，彌補人才缺口。三、將「資安意識納入績效考核（KPI）」，透過常態性的社交工程演練、獎勵回報可疑事件的員工等方式，將安全文化深植於組織DNA中，預計6個月內可見初步成效。

積穗科研股份有限公司專注台灣企業社會-網路-實體系統相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact