CIO價值學院第六堂課資安日新竹場會後報導
隨著全球企業資安意識抬頭,開始擴大在資安防護上的投資,駭客組織在持續研發新型態攻擊手法外,也開始透過入侵防護力較薄弱的供應鏈體系,已達到入侵目標企業的目的,如晶圓代工業者遭勒索軟體綁架即是如此。其次,則是透過入侵晶片設計公司,以物聯網設備為跳板,竊取消費者資訊與商業機密。為此,美國發佈多項計畫,如2021年2月拜登總統簽署「Executive Order on America’s Supply Chains」,其中涵蓋要求部會提出資安因應做法。至於歐洲議會智庫(European Parliament Think Tank)於2020年10月22日呼籲歐洲議會建立強制性的歐盟供應鏈盡職調查制度,而歐盟委員會已開始發表研究報告和進行公眾諮詢。
[ 2022年度CIO大調查報告下載 ]
與臺灣產業最密切關係的部分,莫過於美國國防部發布 CMMC 2.0(網路安全成熟度模型認證),旨在確保美國國防工業部門可保護其網路,避免遭競爭對手的網路攻擊與竊取。該網路安全計劃將對國防承包商產生重大影響,即是透過簡化標準、最小化合規障礙,進一步明確監管、政策及合約簽約要求,聚焦先進的網路安全標準,以及對支撐國防部最高優先事項項目的承包商的第三方評估要求。而美國國家標準技術研究所也發布 NIST SP 800-171A,美國聯邦政府要求欲與聯邦政府簽署合約的組織企業,利用此指引來評估確認其是否符合處理聯邦政府所規範之受控制非機密資訊的要求。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
中華電信數據通信分公司資安架構師吳明峰指出,隨著供應鏈安全日益受到重視,資安治理觀念也同步在改變中。以往過去國外公司大多請供應商自評,然而隨著供應鏈法規與認證日趨嚴格,現在已逐漸改為實地稽核的方式。其次,過去通常資安驗證只有包含IT資訊系統及網路,進兩年開始逐步把產品安全列入考量,相關流程都放入資訊安全制度內進行驗證。
最後,OT設備因先天上的限制,IT場域資安解決方案幾乎都無法直接套用,因此需要花上很多時間進行客製化。中華電信數據通信分公司可協助企業建立一套,融合IT及OT場域安全強化準則,以因應供應鏈安全趨勢下的挑戰。(文/林裕洋)
(本文授權非營利轉載,請註明出處:CIO Taiwan)
