俄烏戰爭之後,資訊戰恐將向上提升的隱憂逐漸浮上檯面。為了強化國內跨產業、跨機構的核心資安應變體系,金管會在去年底推出「金融資安行動方案 2.0 版」,其中最受關注的一點,就是資安長聯繫會議,建立起金融產業整體資安聯防體系,以整體作戰思維超前部署,降低企業營運中斷風險。政府加大力道,不斷從法規面強化企業對資訊安全的重視,國內最大資安服務商安碁資訊總經理吳乙南強調,政府不斷拉高資安議題在企業內的層級,因為唯有將資訊安全納入公司治理,才能在當前的 ESG 浪潮中實現真永續。
駭客手法翻新 資安法規由靜轉動強化防禦
來到忙碌的銀行大廳內,辦完了存款業務後,轉頭找位理財專員瞭解一下最新的基金、保險等理財商品,一趟就能辦完銀行、證券與保險等相關事務。當金融產業高度發展後,跨行、跨金融的業務銷售,幾乎隨時隨地都在發生,背後則是互相串連的資訊交換。
過去,駭客可能盯上的是個別分行或是單一系統,如今則是牽一髮動全身,甚至還會將攻擊手法複製到其他公司。「金融資安行動方案 2.0 版」企圖從金融資安長聯繫會議,組織出跨產業的防禦體系,強化橫向聯繫,並建立作戰指揮系統,降低企業營運中斷風險。安碁資訊總經理吳乙南分析,1.0 版進化到 2.0 版,最大差異就是將駭客防禦從靜態轉往動態。
對資安風險敏感度相對較高的金融業率先反應,除了聯防外,也強化對資安事件的攻防演練,從演練過程中,訓練辨識攻擊來源以及手法的經驗。安碁資訊總經理吳乙南直言,「攻防演練就是要看你到底耐不耐打,這正是企業資安韌性所在,攸關未來企業營運的永續性。」
這波由靜轉動的防禦攻勢,歐美走得較早,美國資安非營利組織 MITRE 在 2015 年就率先提出一套 ATT & CK 資安框架,透過標準化、結構化的資訊來呈現駭客一系列的攻擊過程,讓資安服務商與客戶在進行攻防演練時,能夠用一套共通的語言來溝通,更快取得共識。在國內,安碁資訊也同樣將這套架構融入 SOC 監控服務中,再加上國際資安聯盟的第一手情資及國內最多客戶的海量數據,有助於提升攻防演練成效,強化企業防駭能力在攻防戰中取得先機。
駭客雷達轉向 製造業被駭數量超越金融業
當金融業緊跟著政府法規,修改企業營運策略,強化產業防禦力,成為駭客口中難啃的骨頭時,駭客行為也跟著出現改變,攻擊目標從金融業轉往製造業。根據 2022 IBM年度資訊安全威脅報告,2021 年全球製造業被攻擊的數量,首次超越金融業;跨國製造工廠與供應鏈相關企業成為駭客重點攻擊對象。
台灣製造業環境複雜,機台老舊缺乏防護,加上機種迭代後,系統不相容,難以更新,但又因為自動化需求,將系統相連,成為內部網路,駭客只要找到一個漏洞,就能如入無人之境。
對此,安碁資訊總經理吳乙南觀察,即使資安風險大幅提高,但製造業尚未扭轉成本導向的思維,加上產線凌駕於資訊部門的組織文化,導致製造業對資安風險控管至今仍停留在「坐而言」的階段,面對與日俱增的資安風險,大多數的廠商只能被動的選擇碰運氣了。
制度、人員、預算 製造業資安風控三大關鍵
難道能做的只有這樣嗎?安碁資訊總經理吳乙南也從資安專家的經驗建議,製造業資安長可以從三個面向著手:首先進行業務衝擊評估,找出公司核心資產,從營運制高點看出整體資安樣貌,據此設計合適的資安制度;制度面導入後,再從教育訓練著手,培養員工具有資安意識的使用習慣,待有初步成效後,才能有所本的向董事會爭取更多預算,支持資安投資。
安碁資訊總經理吳乙南也提醒,製造業還有另一個風險,就是為了節省成本而使用的套裝軟體,一旦套裝軟體遭駭客破解,所有使用者都將遭殃。他舉例,2017 年,一隻勒索病毒潛伏在烏克蘭公司設計的會計軟體中,造成全歐洲使用者累計超過百億美元的損失,因此,製造業也不容輕忽此一風險。
做好資安 才能接到生意
但危機就是轉機,也可能是新商機萌生之處。國內半導體業者率先制定出全球首個半導體資安標準 SEMI E187,其中就要求供應鏈必須合規,這也成為接單的最基本門檻,「有資安,才有訂單」,突顯資安不僅只是成本的支出,面對全球 ESG 浪潮下,公司永續成為顯學的當下,落實資安更能夠帶來新商機。