新興科技湧現 資安威脅不容忽視
物聯網安全是目前最受關注的資安議題,尚且沒有一套標準化的處理規範,因此企業更必須注意,而勤業眾信則能提供完善的顧問服務與協助。
採訪/施鑫澤‧文/林裕洋
因應疫情帶來的衝擊,帶動全球企業大舉推動數位轉型的速度,在網路安全風險與日俱增下,企業亦增加網路安全的投資。根據勤業眾信聯合會計師事務所公布的 2021 年全球網路安全大調查(2021 Future of cyber survey)報告指出,有高達 69% 企業表示,2021 年遭受網路攻擊較往年有顯著增加之趨勢。過半數企業認為近年資安風險持續增加,已超過前所未有之高;41% 受訪資訊長、資安長認為,企業處在日益複雜的生態系中進行轉型並獲得市場能見度,是當前所面臨的最大挑戰。
新任勤業眾信風險諮詢服務執行副總簡宏偉說,在全球各地不斷爆發各種資安事件下,就連中小型企業也體認到資訊安全的重要性。事實上,資訊安全涵蓋範圍非常廣泛,特別是與消費者生活息息相關的物聯網設備,也因為產品本身欠缺安全防護設計,成為近期駭客最愛攻擊的設備,如智慧音箱、智慧門鎖等,都不時傳出遭到入侵的案例。物聯網安全是目前最受關注的資安議題,尚且沒有一套標準化的處理規範,因此企業更必須注意,而勤業眾信則能提供完善的顧問服務與協助。
面對諸多新興科技所帶來的網路安全風險,勤業眾信建議企業除持續更新聯網環境架構與汰換不安全之物聯網裝置外,也因應考量選擇國際網路安全標準檢測認可之物聯網裝置,降低聯網設備所帶來的網路安全風險。歐盟向來積極制定與推動網路安全與隱私保護等國際標準,針對物聯網裝置安全,建議台灣企業應參酌相關國際標準評估物聯網裝置安全,並及時取得相關國際標準認證,以持續強化產品安全、維護品牌信譽與提升市場競爭力。
協助掌握資安規範 強化防護力
為協助企業因應新興科技所帶來的網路安全風險,勤業眾信資安科技暨鑑識分析中心與國際認證機構 IECEE(CB)計畫的組織成員 Nemko AS 合作,推動「ETSI EN 303 645」消費性物聯網裝置的國際網路安全標準認證檢測與諮詢服務,輔導欲通過國際標準「ETSI EN 303 645」認證之消費性物聯網裝置進行安全檢測與漏洞評估,確認其合規性,並協助企業符合國際網路安全標準認證之要求。
於 2018 年取得「ISO 17025 物聯網裝置資安檢測」增項認證的勤業眾信資安科技暨鑑識分析中心,是台灣少數可提供數位鑑識服務、物聯網設備、嵌入式系統與應用程式資安檢測服務之全方位實驗室。具備多次聯網安全檢測實例,包括:工控設備、網路通訊設備、網路攝影機、行動裝置、醫療器材等產品。應國際趨勢,2022 年可為企業產品提供取得國際標準「ETSI EN 303 645」安全檢測資格之服務,增加安全認證之餘,也同步接軌國際安全趨勢。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
簡宏偉指出,勤業眾信的風險諮詢服務非常廣泛,對不熟悉相關產業標準、有意想要提升整體資安防護思維的企業,我們會告知相關資安規範內容、必須合規的重要性。此外,對於不知道從何著手的企業,我們也會協助進行差異分析,協助建立一套標準化、自我診斷的標準,讓協助企業逐步完善整體資安防護機制。
勤業眾信認為符合企業需求的顧問公司,在提供完整的報告之外,也應該要提供一套執行策略與方法,協助企業解決面臨到的問題,才能展現顧問公司的價值。
成功案例相互交流 帶動產業加速成長
前面曾經提到,資安範圍涵蓋很廣,特別是在全球製造業大舉推動「工業 4.0」專案下,打破資訊科技(IT)和營運科技(OT)分開運作的模式,藉由技術創新與優化整合 IT 與 OT,藉此加速推動數位轉型之旅,只是隨之而來也增加對 OT 和 IT 的資安。近年來,關鍵基礎設施遭受駭客攻擊之資安事件時有所聞,事實上,ICS-CERT 發布關於 ICS/SCADA 之資安事件與弱點通報數量,早從 2011 年開始大幅竄升。
近期針對關鍵基礎設施所發起的網路攻擊活動,對於基礎設施和服務的破壞,亦說明各國目前在關鍵基礎設施的安全防護尚有進步空間。對台灣而言,最明顯案例莫過於台灣台電、中油、台塑等遭到攻擊事件,若是放眼全球市場,近期最嚴重案例自然是美國輸油管遭到勒索軟體攻擊的事件,已經嚴重影響到民眾的生活。此事件,更迫使美國總統公開指責駭客組織,美國聯邦調查局更在介入調查,並在事後從駭客手中追回不少贖金。
[ 推薦閱讀:駭客攻擊企業的六種新模式 ]
鑑於關鍵基礎設施提供者所維運或提供之服務,均對國家安全、社會公共利益、國民生活及經濟活動有重大影響,因此資通安全管理法也將關鍵基礎設施提供者列為重點項目,要求訂定、修正及實施資通安全維護計畫,並向主管機關提出資通安全維護計畫實施情形。針對上述議題,勤業眾信能提供從網路架構設計層面、網路安全弱點層面、系統安全設定層面、模擬駭客攻擊層面、到實際檢測企業內部網路是否已遭惡意入侵,一系列完整的關鍵基礎設施資安評估服務。主要可從技術面檢測資通安全維護計畫之有效性,協助發現企業潛藏的資安危機,以最有效益的方式,降低 ICS/SCADA 關鍵基礎設施所面臨之資安風險。
簡宏偉表示,隨著 OT 遭駭事件頻傳,目前已有 IEC 62443 標準問世,可作為企業建置時的遵循標準。在企業推動智慧製造過程中,我們可協助單一產品的驗證著手,乃至擴大到場域、流程等驗證,以便能打造高安全的智慧製造環境,除可符合國家智慧製造的概念外,也能成為提升整體競爭力的重要數位專案。 勤業眾信在全球市場有眾多服務團隊與成功案例,如台灣已有產業導入 IEC 62443 標準的成功案例、印度則有能源方面的成功案例,透過兩個國家團隊的合作、經驗分享,協助不同國家的產業與客戶共同成長。
勤業眾信擁有經驗豐富、技術能力強悍的資安服務團隊,成員擁有多種資安技術證照,如國際資訊系統安全專家(Certified Information Systems Security Professional,CISSP)、認證道德駭客(Certified Ethical Hacker,CEH)、資安鑑識調查專家(Certified Hacking Forensic Investigator,CHFI)、國際資訊安全經理人(Certified Information Security Manager, CISM)、國際電腦稽核師(Certified Information Systems Auditor, CISA),並有豐富的實務經驗,曾協助客戶進行各類型的資訊安全服務,也是業界少數實際擁有 ICS/SCADA 資安檢測服務實務經驗之資安服務團隊。
中油受駭事件為借鏡 促使 OT、IT 合作
儘管在智慧製造議題風潮下,IT 與 OT 融合的趨勢已是必然,但是企業內部兩大單位勢必會面臨整合挑戰。由於兩大單位的思考邏輯不同,如 OT 是以維護生產流程穩定運作為前提,畢竟產線流程改變不易,且停機早成損失非常驚人。而 IT 則是以資訊系統穩定運作為主,由於往往不了解生產流程的細節,常面臨提出資安建議,往往不被 OT 接受。過往兩大單位幾乎處於互不相讓的狀況,然而隨著製造業、關鍵基礎設施頻頻傳出遭駭事件,也讓 OT 單位開始重視之安,因此與 IT 之間溝通也大幅降低不少。
[ 推薦下載: 2022年度CIO大調查報告PDF ]
以眾所皆知的中油遭入侵事件,當時全台灣目光都聚焦在駭客入侵管道、手法、造成損失等,卻忽略中油事後的處理措施。根據時任行政院資安處處長簡宏偉深入了解後發現,中油不光在最短時間內恢復系統運作,也把收集到的攻擊樣態,通報給其他政府機關,做為防堵駭客攻擊的參考樣本。其次,全公司的資安意識大幅改善,並成立專屬資安負責團隊,透過制定一系列相關政策、責任劃分等,讓 OT 與 IT 攜手合作強化整體資訊安全。
「企業要做好資訊安全,不光需要技術支撐,公司的思維也必須同步改變。從過往經驗來看,資安防護機制成效約有 80% 取決於資訊設備、技術等,另外20%取決於公司的治理。」簡宏偉解釋:「中油推動的資安思維轉型,是該公司整體資安防護力提升的重要關鍵,也非常值得做為其他台灣公部門、企業的參考與借鏡。」
兩大科學園區啟用 解決南北失衡問題
行政院為解決過往重北輕南的經濟發展策略,同時舒緩北部土地不敷使用,讓中南部青年可留鄉發展、帶動傳統產業升級的目標,近幾年積極在南部成立創新科學園區,如台南的沙崙智慧綠能科學城、高雄的亞洲新灣區。沙崙智慧綠能科學城發展主軸為綠能科技,透過會展中心產業交流互動平臺的建立,強化在地產業的競爭力,資安暨智慧科技研發專區和綠能科技示範場域,將進行綠能科技創新研發及產品展示。
高雄亞洲新灣區以 5G AIoT 應用創新邁向高值化與轉型,建構臺灣自主 5G AIoT 創新產業環境與供應鏈,同時促進高雄新創群聚及橫向鏈結,帶動在地創業生態發展,加速南部地區創新創業成長,引領科技及人才南向,打造高雄亞灣區成為新世代科技應用先驅,帶動南臺灣產業 5G 數位轉型。
簡宏偉指出,南部兩個科學園區啟動,可望帶動多項創新產業發展之外,尤其沙崙智慧綠能科學城鄰近國立成功大學、高雄亞洲新灣區則是鄰近國立中山大學,可就近培育所需的各類人才,解決產業的人才缺口。尤其國立中山大學更是首間成立資安學系的大學,人才培育能量不容小看。透過兩大科學園區搭配,有望帶動台灣南部的發展能量,解決人口過於集中北部的問題。
隨著政府推動資安等於國安的策略,加上要求一定規模企業必須設立資訊長,促使不少民間企業向公部門招攬專業人才。簡宏偉認為民間與政府之間的人才交流是好事,在歐、美、新加坡很常見,有助於讓政策更貼近民間需求,也建議政府應該參考歐、美、新加坡等國家建立一套人才交流制度,有助於台灣人才活化、發揮最大功效。
(本文授權非營利轉載,請註明出處並知會作者:CIO Taiwan)
