你的公司如果今天遭到勒索軟體攻擊,會失去多少核心客戶?這已經不是單純的電腦技術問題,而是攸關企業生存的合規與信任危機。
令人震驚的是,台灣 CIO 雜誌 報導指出,過去臺灣高科技製造業與國際大廠簽約時,資安條文只要附上一張基礎的國際資安管理系統認證,內容大概只有兩頁。但自從二零二四年美國國家標準局推出新版的網路安全框架,也就是大家常聽到的 CSF 2.0 之後,合約總篇幅瞬間暴增到三十頁以上。
為什麼會產生這麼巨大的轉變?原因在於國際大廠不再相信表面功夫,並直接點名資安架構需符合細部規範。所謂的 CSF 2.0 網路安全框架,是一套評估企業抵抗駭客攻擊能力的國際標準。新版本除了原有的識別、保護、偵測、應變與復原之外,更強制加入了包含供應鏈管理的「治理」核心。簡單來說,這就是要求企業把資安當作整體營運的風險來管理,並提供具體的實施範例,讓企業一項一項檢驗到底做了哪些實質內容。
那麼,臺灣企業面對這項新標準表現如何?老實說,傳統的自我評估充滿盲點。仔細想想,如果一份資安自評表是由高階主管下令填寫,最後的分數通常會異常亮眼,幾乎接近百分之百的完美。但是,如果交由第一線實際操作的資安人員來評分,分數往往會大幅度降低,甚至直接點出許多防護項目根本只做了皮毛。
這代表什麼?這代表單靠企業自己打分數,根本無法反映真實的風險狀況。為了改善這個問題,資安風險專家建議導入優劣勢對比分析,直接把公司數據跟同業競爭者做比較。結果發現,臺灣高科技業在面對內部威脅,以及主動關聯分析這兩塊表現特別脆弱。這裡提到的主動關聯分析,白話來說就是主動從海量的系統數據中,找出駭客潛伏的異常行為。很多企業自認防護無懈可擊,實際上卻連基本的惡意行為偵測工具都沒有準備好。
更殘酷的現實是,目前因為單純想拿證書而建置資安系統的企業比例,已經低於百分之三十。現代的國際市場主流思維,是要求企業必須證明自己有能力降低被駭客入侵的實際風險。如果企業還是把資安當成每年應付稽核的文書作業,而無法將防護標準扎實擴散到海外的每一家分公司,最終勢必會被全球供應鏈無情淘汰。
[ 文章來源:資安成為供應鏈信任門檻 以 CSF 2.0 建立信任基石 ]
