《電子時報》法規帶動資安剛需 自由系統成電子IC大廠資安戰略夥伴

▮ 閱讀電子時報原文 | 法規帶動資安剛需 自由系統成電子IC大廠資安戰略夥伴

資訊安全已然是數位時代的企業顯學,不光是企業主人人自危,政府法令也緊跟科技發展步調,督促企業組織一肩扛起資安重擔。

金管會於2022年頒布新版「公開發行公司建立內部控制制度處理準則」,將率先針對上市櫃企業進行資安規範,並逐步擴大到各級產業。其中影響最大的便是第一級企業,產業涵蓋台灣的經濟支柱—半導體、電子、電機產業龍頭,以及食品、航運、電信等傳統大廠都在其中,必須趕在2023年前推派資安長就位,並設立資安單位,維繫企業資安體制運行。

根據金管會資訊,關於資安人力配置規範,上市櫃公司將依條件分為三級,循序漸進辦理。自由系統

►根據金管會資訊,關於資安人力配置規範,上市櫃公司將依條件分為三級,循序漸進辦理。

 

針對法令,多數企業仍處於觀望狀態,或是只設置資安長(CISO),卻缺乏下一步具體計畫,問題便出在企業缺乏具體且可執行的資安戰略。自由系統為台灣首間全方位資訊託管服務商(MSP),致力於提供企業一站式、客製化的資訊託管服務。憑藉著跨越「雲、地、端、人」的深度ICT知識與經驗,推出客製化「資安監控與回應託管服務(MDR)」,自2020年來持續為多家上市櫃企業解決資安威脅事件,成為長期資安戰略顧問夥伴。

「事實上不只有受金管會規範的上市櫃企業需要注意,」自由系統執行長俞伯翰點明,「法令一上路,你的客戶、供應商對資安法遵合規性要求逐漸轉嫁給你,比如說大型客戶會要求你也須通過安全性稽核。即便你不是規範對象,也不能掉以輕心。」尤其是科技製造業,需面臨來自大型客戶、上下游供應鏈等多方合作夥伴的責任轉嫁,資安壓力最急迫。

 

科技製造產業受駭比例攀升,網通暗處恐成風險未知數

製造、醫療、金融三大關鍵產業一直以來被推上數位轉型的浪尖,近年來更是資安防護的重點對象,總結說有三大特點:垂直或水平供應商多、監管法規要求高、系統間技術整合複雜。比起往年,又以製造業資安的討論聲量最高,原因不外乎是針對製造業的攻擊事件頻傳,但是企業對於IT/OT整體環境掌握度太低。資安大廠Fortinet調查指出,約93%的OT企業系統在12個月內至少被入侵過1次,卻渾然不覺。

俞伯翰指出,近年來公司內部業務重心逐漸移往「資安託管服務」,而尋求資安服務的客戶群有4成為高科技製造產業,包含電子製造、半導體IC設計、晶圓製造、工業網通等大廠,這些客戶找上自由系統的關鍵原因除了製造業攻擊趨勢外,更因為資安領域跨度極大,交給專業託管服務商統籌規劃,能降低資安維運的技術門檻與人力成本,以及試錯風險。

2021年某上市櫃客戶傳出遭勒索攻擊風波,除了總部外的供應據點遍及全台,使的維持營運核心的供貨系統、AD、網路、連同備份遭一併加密。由於衝擊範圍大、來自Infra的病灶複雜,最後才由從資訊到資安深縱能力最全面的自由系統來排除災情。

更早些年前,某科技業客戶亦懷疑企業內部環境遭駭客潛伏,由於未採用零信任網路架構而讓廠、辦兩地皆受感染。威脅修復後,自由系統也協助陸續把IT至OT網通端的資安監控機制建立完善,在最低的營運衝擊下做到最高的資源利用效能。

「過去我們常說別讓資安成為企業的『黑天鵝』,但現在恐怕已是『灰犀牛』—威脅已經存在,企業卻選擇消極應對或視而不見。」自由系統執行長俞伯翰以網路攻擊鍊(Cyber Kill Chain)概念說明,現在持續性的進階威脅可以潛伏在企業中很久,只為了在竊取最高權限後一舉進攻,而企業該做的就是在爆發前的任一階段擋下攻擊。

 

從IT到OT逐步建構資安防禦網絡

供應鏈、IoT資安是近年來業界討論的大議題,但是對於甫跟上數位化趨勢的多數台灣企業,似乎離落地還有段距離。俞伯翰濃縮經驗,提出兩端的現狀:第一,資安業界的解決方案走的前面,但缺乏整合服務Delivery技術和產品,生態圈尚未完全成熟;第二,企業仍處於觀望階段,比起「買保險」,更願意傾注其它能積極獲利的供應鏈投資。而自由系統現在提供給產業客戶的最大價值,就是整合技術與商業需求、確保問題被解決,保證企業的資安投資有積極效益。

IT和OT資安所關注的重點不盡相同,例如IT資安關注商業營運的延續和商業價值保護,保護機敏資料和資訊系統、AD、ERP等核心服務;而OT資安更擔心的是供應鏈中斷造成的產線危機,甚至是人、機安危。但是,在物聯網逐漸普及的未來,IT與OT的分野將溶解殆盡,且由於網路與雲端的進場,更趨向由IT主導。

  1. 優先強化IT環境資安管理
  2. IoT/OT資產列管透明化、增強環境可視性
  3. 風險與弱點統一管理,避免雙向感染風險
  4. 不間斷的威脅監控、事件回應,再到智慧管理
  5. 降低資安維運成本與提升即時應對效率

 

「許多客戶並不是等到攻擊事件爆發才找上自由系統,通常是因為客戶意識到資訊基礎建設老舊、缺乏積極監管機制,甚至是已出現可疑跡象,趕緊先執行資安概念驗證(PoC),順勢發現攻擊前兆。」自由系統業務經理許廷輔指出,企業的資安管理心態不能停留在「被打才知道痛」,而是「預防勝於治療」。

資安是場成本與風險的長賽局,隨著資安威脅的不斷進化,企業CISO的肩上重擔是在管理策略和技術實務兩邊權衡。如何支配有限的資源,盡早抓出潛藏的內外風險,最重要的是有實力和經驗能夠有效排除威脅,將成為數位化與互聯網時代的長期課題。敬請點此領取製造業資安白皮書以及點此報名自由系統X研華X電電公會製造業資安研討會。