2024 CISO Insight 資安調查解析(3)
CISO Insight 是由 CIO Taiwan 的 CISO 資安學院所發動的問卷調查,問卷內容以資安長的角度出發,探查企業資安策略的實施現況及痛點。本刊邀請多位資安長進行「2024 CISO Insight 資安調查解析」,深入盤點企業資安治理、資安威脅,以及採購與預算三大議題。
採訪/施鑫澤、鄭宜芬‧刊期/2025.2
企業經營時,面對各項服務的供應商普遍預設信任,但對其資訊資產未必有全面的了解,尤其是資安防護的做法更不易掌控,當企業開放內部權限時,就會增加內部系統與設備被入侵的可能性。因此企業資安防護能否完善,供應鏈的安全至為關鍵。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
提升供應鏈安全 逾八成企業制訂標準採購流程
此篇「資安採購與預算」,便是探討企業如何透過制定標準流程、預算取捨以及層層疊加防護,確保企業運作與供應商都能維持良好的資安狀態。
[ 下載 2024 CISO Insight 資安調查報告 ]
為防範日新月異且越趨頻繁的攻擊,根據本次調查,38% 金融業有針對供應鏈風險管理實施具體的策略和程序(圖 1),37% 金融業與 13% 高科技製造業,會對供應商和合作夥伴進行資安審查(圖 2);而且多達 81% 的企業有制定標準的資安採購流程(圖 3),過半(51%)會嚴格執行。
金融業的資安標準有主管機關監管;高科技製造業的資安標準則以台積電為標竿,近年來除發起並協助國際半導體產業協會(SEMI)制定晶圓設備資安標準(SEMI E187)、參與定義「半導體製造環境資訊網路安全參考架構」,也積極舉辦供應商資安研討會,帶動整體供應鏈安全。
一般的企業在與供應商夥伴合作時,能達到的資安防護能力雖然有限,但仍可透購採購與預算,有策略的提升防護力。
目前臺灣產業針對供應鏈的資安採購流程大致可統整為:風險評估、資安認證、資安問卷、議價、簽訂合約、責任歸屬、實地稽核、持續監控等階段。服務委外的供應鏈管理,可分為前中後三階段:
[ 推薦閱讀:【專訪】數位發展部部長黃彥男 ]
‧ 委外前:
供應商和合作夥伴的資安狀況直接影響到企業整體的安全性,為有效管理供應商風險,必須在委外前進行風險評估,並制定採購注意事項檢核表。
合勤投資控股資安長游政卿分析,合規是最基本的保證,例如 ISO 27001(資訊安全管理標準)或 SOC 2(服務與組織控管)等,公司還會依需求擬定詳細的資安自我評鑑問卷(SAQ),針對外包服務不同階段的資安管理,協助供應商進行資安對焦。
一位不具名的金控資安長表示,金管會要求強化金融資通系統的安全管理,包括遵循《資通安全管理法》、《個人資料保護法》、金融資安行動方案,以及針對金融機構自動化系統和服務供應商風險管理的相關規範。還有電腦安全認證的國際標準 CC(安全評估共同準則)、刷卡機認證等方式可評估。這也顯示了因應攻擊,金融業針對供應商所進行的管理和審查最為嚴謹周詳。
不同的產業還可依業態需求延伸不同的資安標準。凌巨科技資訊管理處副處長賴生霖表示,除了將供應商進行分級,也進一步要求 IATF 16949 汽車產業品質管理系統認證,輔導供應商提升品質。
遠傳電信資安長朱建國表示,若合約寫得不夠清楚,後續就不易確保供應商的安全。訂定產購契約時,特別須注意資通訊系統,應針對產品開發商或軟體服務商,明確規定資安要求,包括供應商責任、事件通報與處理標準、如何應對產品缺陷,甚至稽核權等,這樣可以確保供應商在整個合作期間都能維持良好的資安狀態。
驗收時也要請供應商提出相關的證明,確認其產品不能使用有漏洞或有危險的元件,以利獲取品質較好的產品或服務,即使發生資安事件,也可依合約規範應對。
‧ 委外中:
為了管理供應商風險,建議加強契約管理,並設置服務水準協定(SLA)的要求,對於處理敏感資料或提供關鍵服務的供應商,定期實地稽核。
然而,總有供應商填問卷「自我感覺良好、自賣自誇」。為平衡此一現象,某面板廠資安長建議,除了問卷還可輔以第三方評核,針對落差大的供應商進行訪談甚至實地稽核,了解狀況並協助改善,驅使供應商更重視資安,對於供應鏈管理起到良性循環效益。另外可透過持續監控機制,定期要求供應商提供資安報告,並且使用第三方工具來監控他們的外部資安狀況。
[ 推薦閱讀:資安問題不解決,AI 應用無法普及 ]
‧ 委外後:
在服務結束時,對於服務轉移和資訊資產的交付、銷毀與刪除等步驟,應採取完整的管理流程,以確保風險可控和資料安全。選擇供應商時需根據採購金額及個人資料處理範圍進行分級管理,並對委外廠商進行定期查核,以提升整體資安水準。
另外還可透過業務驅動供應商提升資安。舉例來說,有面板廠將 ESG 評價與供應商的 QBR(季度商務評審)分數連結,若供應商的資安做得好、QBR 與 ESG 分數高者,未來下訂單給該廠商的機率即會提升,以鼓勵供應商持續改善及精進資安水準。
採購後也須持續進行審查,以維持資安水準。當然,並非所有的供應商都需要同樣嚴格的審查,企業應根據供應商的重要性和風險程度來調整審查的深度和頻率,如此便能更有效地運用資源。
游政卿表示,資安審查應該是動態和持續改進的過程,隨著威脅環境的變化和新技術的出現,組織應當不斷調整和最佳化審查標準和流程,予以應變。最重要的是,資安審查不僅是一次性的檢查,應視為與供應商建立長期合作關係的一環,才有利於提升整體供應鏈的安全性。
臺灣處於國際地緣政治特別敏感的地方,而且是全球高科技產業核心,資安長們必須具備國安層級的敏感度。然而,有些通訊產品難以避開大陸製,台新銀行資安長陳詰昌建議,應依循主管機關要求的供應鏈管理,以風險為本的方式來評估該資通訊產品或者是供應鏈是否適合納入採購行列裡。甚至有些系統開發商為了降低成本,恐出現「大包轉小包,小包轉小小包」的問題,企業難以追蹤到專案是否流落到大陸手中,致使資安風險攀升,這在風險評估階段不易發覺,需透過實地稽核才能了解供應商狀況。
[ 推薦閱讀:應對企業資安威脅 禦敵於外與制敵於內並重 ]
金融業預算拔頭籌 高科技緊追在後
據 KPMG 引述國際研究機構報告指出,金融業受到網路攻擊的可能性為其他業的 300 倍, 且每年攻擊數都在攀升,而全球金融企業每年平均承擔網路犯罪的成本更是高達 5.28 億新台幣 。
根據統計,企業資安預算以金融業拔得頭籌,其次為高科技製造、服務業、傳統製造與健康醫療產業。近半(47%)企業對於資安的總期望預算平均落在 1,001 至 5,000 萬元,其中金融業因受高度監管、2B 與 2C 破口多,且不能承受任何風險,資安預算甚至上攀至 3,000 萬至一億(圖 4、圖 5、圖 6)。期望預算逐年攀升的結果,也與業界受到駭客攻擊頻率增加的現況非常符合。
經統整,資安長們的預算大致用於系統與專案兩大面向,包括電腦安全保障與攻防演練,以及導入 ISO 27701、ISO 22301 等,讓資安管理能夠與國際接軌,或是透過 NIST 網絡安全框架(NIST CSF)和資安防護矩陣(CDM)進行安全狀況評估,針對弱點加以補強。
有資安長坦言,BCP(營運持續計畫)在實際執行面恐淪為紙上談兵,一旦遭受攻擊,RTO(復原時間目標)與 RPO(復原點目標)恐無法如預期達成。駭客攻擊可能導致備份、備援和資料備份與災難復原(DR)功能失效,許多資安計畫實際上是依據硬體損壞或環境破壞程度進行。在此高風險情境下,設備能否恢復正常運作,或甚至即便能復原,耗費的時間「絕對超過想像」。因此,近年高科技製造業投入大量資源在應變計畫的復歸能力和應變演練,以某面板廠為例,資安預算約落在總預算的 6至7%,以提升整體韌性和抵禦攻擊的能力。
預算有限成難題 漸進投資增防護
然而,執行資安策略遇到的主要困難,包括資安技術和工具的選擇和實施(25%),以及預算不足(21%),如何向高層爭取預算,是各行各業資安長最困難的挑戰之一。
一旦發生資安事件,如何在短時間內把系統恢復到正常的服務水準,避免影響客戶交易或造成生產中斷。台新銀行將資安分為四個層級,第一層「系統安全」,第二層「營運持續」,第三層「危機處理」,最後達到「企業永續」目標。
上市櫃公司擁有相對充足的預算能夠全面提升資安能力,但對於一般的企業,預算分配需要有所取捨,我們歸納了資安長們的策略,包括「基礎設施、保護資料與教育訓練、提升加密等新技術、追蹤管理、雲端安全解決方案」等。
一般企業的資安難以一步到位,但可透過「層層疊加」軟體或工具,提升防護能力。佳世達科技資訊長暨資安長黃莉雯建議,先鎖定初期的目標應該做到哪,再逐年疊加上去。例如 2024 年資料外洩事件頻繁發生,預算主要投入於軟體供應鏈管理,保護機敏資料;2025 年將關注於保護客戶資料,避免客戶流失。
[ 推薦閱讀:【專訪】前科技部部長暨臺灣大學名譽教授陳良基 ]
‧ 網路安全基礎設施
游政卿建表示,預算分配需要有所取捨,合勤投控主要投資的地方,以網路安全基礎設施為最重要,包括防火牆、入侵偵測系統、端點防護等。
‧ 保護資料、教育訓練
企業的資源若有餘裕的話,可進一步針對資料與隱私,投資資料加密、資料外洩防護系統、身分識別和存取管理(IAM)解決方案;以及協助企業符合法規、增加業務競爭力的工具;甚至是供應商風險評估工具、監控和管理第三方風險的平台;還有員工的教育訓練,包括客製化的線上課程和模擬釣魚演練,另可投資外部專家支援與定期演練,以期建立和維護強大的事件應變能力。
‧ 提升加密等新技術
企業應根據威脅環境的變化、業務需求的演變,還有新技術的出現,彈性調整預算,例如零信任架構對於應對現在的分散式工作環境具有相當的助益。而針對 AI 時代的資料保護,有能力的企業甚至可積極投資 AI 驅動的安全分析工具與提升加密技術,提高防禦能力。
‧ 事後追蹤、防禦管理
醫療業或服務業受到供應鏈資安問題的衝擊,雖不像金融或製造業那般重創,但駭客攻擊的產業種類已逐漸擴散。臺北榮民總醫院資訊室主任郭振宗建議,投資存取控制與紀錄軌跡,以利事後追蹤。彰化基督教醫院資安中心主任粘良祁也分享自家策略,預計於 2025 導入 MD(資安防禦管理),而且要增加更多的預算。
‧ 雲端安全解決方案
隨著企業越來越頻繁地使用雲端服務,也建議增加雲端安全解決方案方面的投資,比如雲端存取安全代理和雲端工作負載保護平台,並且預留預算用於研究和應對新科技帶來的安全挑戰,像是物聯網安全、5G 安全等。
總結資安長們的觀點,年度總期望預算有增長的趨勢,顯示企業每年都在努力爭取更多的資安預算,以應對日益複雜的威脅環境。面對日新月異的攻擊,企業除了持續投入資源強化攻擊偵測與阻斷能力,透過新科技增進防護層級,確保網路安全的主動防禦能力與應變效率,也建議資安長定期評估各項投資的投資報酬率,這不僅幫助最佳化預算分配,也有益於向高層證明資安投資的價值。
【 2024 CISO Insight 資安調查解析系列文章列表 】
- 解析系列文章 1:資安治理 企業防護的核心基礎
- 解析系列文章 2:應對企業資安威脅 禦敵於外與制敵於內並重
- 解析系列文章 3:防堵供應鏈資安破口 採購與預算越趨嚴謹高標
(本文授權非營利轉載,請註明出處:CIO Taiwan)
