強化產業資安防護力 資安產業扮演關鍵角色
企業唯有做好事前風險控管工作,且絕對不能抱有交給資安機制處理的被動想法,才能有效保護各種商業機密。
採訪/林振輝、施鑫澤‧文/林裕洋‧刊期/2023.10
隨著駭客組織將攻擊目標鎖定關鍵基礎設施,企圖影響民眾的日常生活、影響國家運作,實現特定民族主義的目標,讓世界各國感受到資安與國安息息相關。在眾多關鍵基礎設施遭到攻擊的案例中,又以 2021 年 5 月美國燃油管線營運公司殖民管線(Colonial Pipeline)遭到駭客組織 Darkside 勒索軟體攻擊,導致美國政府宣布進入緊急狀態,最後在支付 500 萬美元贖金才順利解決。
早在 2016 年總統蔡英文喊出資安等於國安的國家策略之後,除行政院、國防部、法務部調查局等,分別成立資通安全處、資通電軍、資安工作站外,立法院也三讀通過資通安全管理法。而在2022年數位發展部掛牌後,也同步成立資通安全署,全力提升公務機關與關鍵基礎設施的防護韌性。
[ 推薦閱讀:容易疏忽的優先順序 ─ 確保資安預算來源 ]
臺科大管理學院院長羅乃維指出,資安即國安是非常有針對性的口號與國家策略,會讓人直接聯想到資訊安全跟國家安全息息相關,也代表國家領導人對資安的重視。表現上看起來,是政府單位積極推動資安與國防的工作,但並不代表與產業、民眾沒有關係,僅是從從兩個面向推動相關工作時,也同步帶動產業資安、資安產業的發展。不過,若從社會角度來看,光是資安與國防還不足支撐經濟發展,唯有同步發展產業資安、資安產業,才能發展的更為健全。
建構資安評估模型 助資安預算效益最大化
產業資安與資安產業是因應經濟發展衍生的兩大層面,所以彼此之間的關係非常緊密。簡單來說,產業資安就是需要資訊安全的甲方,資安產業就是可提供資訊安全的乙方,只是現今兩端缺乏合宜的溝通管道,以至於業者無法真正提供企業所需的產品,而企業亦面臨不知道從何採購合適資安設備的困擾。
因應駭客攻擊手法多變、攻擊頻率增加,加上政府法規的要求下,企業在資訊安全領域投資確實有增加的趨勢,且呈現逐年上升的趨勢,不過可能出現雷聲大、雨點小的狀況。因為從實務面來看,資安效益很難評估、沒有評估標準,所以從營運高層的角度來看,往往對於相關投資會有遲疑,因為當今年投入很多資源時,並不代表明年度投資金額可以減少。在此狀況下,不少企業主可能考慮減少初始投入金額,而非一次投入大筆金額,採取每年小幅增加資安投資金額的趨勢。
羅乃維表示,隨著資安事件頻傳,過去企業將資安當作買保險的心態、投資保守的狀況,不過近幾年前述狀況明顯在改變中,因為多數企業主知道再不改善,最終也會遭到惡意攻擊毒手。不過,現今企業幾乎都希望有個類似「資安評估模型」工具,以便知道自身產業的規模大小、營運特性等,約略知道每年需投資多少金額在資安專案上,方便後續相關預算編列。否則,現行各家資安業者都是採取先低報價,先取得與企業專案後,在開始把相關費用疊加上去,最終形成漫天喊價的狀況。
優先保護核心資產 降低駭客攻擊衝擊
事實上,根據羅乃維與多位企業主、資訊長深入訪談之後發現,現今多數企業對資安投資多半保持正面態度,也願意每年投資一定金額,只是本身不知道如何規劃 3~5 年的中長期計畫,以及所需要投入哪些資源等。不過,企業對資安不能再抱持買保險的心態,因為在道高一尺、魔高一丈的狀況下,沒有任何單位可以保證添購資安設備之後,絕對不會發生資安事件。因此,資安長或資安團隊應該優先了解資安工作的排序,如依照資訊安全理論做法是先找出公司最重要核心資產,再採取相對應作法進行保護。
若企業最重要核心資產是伺服器中的研發機密或個資,以該伺服器為核心的實體安全機制,如網路安全等應該評估強化的措施。若公司重要資料要放在雲端時,那也要評估雲端環境是否安全,也要落實資料存取控制的工作等,才能避免發生資料外洩的事件。
「基本上,公司規模大小與資料價值多半成正比,因為大企業可能一個客戶背後代表上億元的業務,中小企業的一個客戶背後可能是幾百萬。因此,企業投資在資料保護的費用上,彼此之間也會有大差異。」羅乃維解釋:「如大公司可能有 10 多個人會讀取同一份資料或檔案,在資安控制上自然得投入較多心思與費用。中小企業可能只有兩個人會存取機密資料,帳號權限設定相對比較簡單,資安花費或許僅需購買兩個人的權限即可。」
建立公開資訊平台 逐步建立信任關係
除了產業資安本身觀念必須要改變之外,提供資訊安全的資安產業,也必須能了解企業主本身的痛苦跟需求,才能提供相對應的解決方案,不過在實務上往往很難達成。因為面對一個全新客戶,資安業者往往很難了解其整體規模,客戶通常會對於自身營業狀況、往來客戶等有所保留,即便資安業者有非常優異的產品,也難保可符合企業用戶的實際需求,最終成為雙方之間難以突破的鴻溝。
目前企業常見資安設備採購作法,泰半是資安團隊聽完多家業者的介紹後,先從覺得有滿足特定條件品牌下手、試用,只是此種做法往往非常耗時、沒有效率。特別是當企業沒有明確表明痛點時,資安公司提供解決方案無法真正保護核心資料安全,最終導致花費大筆預算在非核心系統上,最終也失去編列大筆資安預算的目的。
羅乃維指出,不可否認,企業與資安公司之間的信任關係很難在短時間建立起來,因此在實務上必須思考如何打破瓶頸、界線,讓雙方能在公開平台上建立互信基礎。如此,企業可以很快找到資安公司的產品,且知道能滿足何種程度的需求。當然此平台建立難度頗高,基本上應該還是得從第一步開始做起,建議可以邀請公正第三方扮演雙方的橋樑,透過半公開場合讓彼此進行交流、想法互換等,或許可以逐步讓平台逐漸明朗化。
資安長職位再提升 跨部門溝通更順暢
隨著駭客攻擊事件持續暴增,在企業日益重視資安工作下,全球陷入資安人才不足的困境。尤其金管會在臺灣企業頻頻爆發遭受駭客入侵的趨勢下,更已透過修改公司法方式,要求一定規模的企業,必須於指定時間內設立資安長、資安團隊等職務,也讓人才缺口更形嚴重。
長期致力為產業培育資安人才的臺科大,2023 年首度將 Check Point SecureAcademy 納入「資訊安全導論」教材,其豐富的混合式及線上資源難易度橫跨入門至進階,同時提供模擬真實駭客攻擊情境的類遊戲體驗教材,與實驗室守則指引學生實機操作步驟,有助教師打造更彈性且貼近產業現況的學習環境。預期每年可培育將有 70 位以上具備資安實戰技能的學生,且更可在修課後直接考取國際認證的資安證照,強化職場競爭力。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
羅乃維表示,根據金管會要求資安長必須是副總階級,且直接向總經理回報,但實務上副總階級可能還不夠。畢竟在必須設立資安長職位的大型企業中,很多部門主管都是副總,等於與資安長是平行單位,當需要推動跨部門的資安工作時,其他部門不一定會落實相關做法,因為各單位有本身的工作需要執行,如業務單位可能會將爭取訂單放在第一順位,將工作重心放在與自身權益相關的工作上。
此時,當營運團隊或總經理要追蹤資安專案推動進度時,資安長變得很為難,畢竟在權力不夠的狀況下,無法指揮其他部門必須依照資安專案規劃執行。所以當企業設立資安長職位時,羅乃維建議應該要僅次於總經理,而比其他事業單位的最高主管略高一級,如資深副總或執行副總等,才有權利要求其他部門配合公司的整體資安政策。
具備產業知識 資安政策須兼顧營運發展
公司推動整體資安策略的過程中,資安長扮演非常重要的關鍵,除了需制定符合企業需求、趨勢的資安策略之外,也必須擁有足夠的產業知識,需同步考量公司的整體營運策略、總經理的想法,乃至主動回報各事業單位在落實策略上面臨的痛點與難處。企業強化資安防護機制的目的,是要讓公司能在安全無虞狀況下穩定成長,所以絕對不能發生因執行推動資安政策,導致整體營收下滑、開發專案進度延宕等,甚至影響到展店、設立分行的進度。
換句話說,資安長本身不需要資安技術非常好,但必須了解各項資安解決方案帶來的效益為何,能否滿足現階段、未來幾年的業務發展需求。特別是前面提到在資安預算有限的狀況下,當決定要透過三年計畫保護重要公司重要資產時,更必須了解每年資安專案的執行重點,利用有限資安預算創造最大效益。
「傳統評估資安長成效的做法,可能是評估集團是否遭到攻擊,但在現今資安威脅暴增的狀況下,若發生事情就開除資安長,恐怕幾天之後就找不到合適的人才。」「建議總經理應該從資安長是否有逐步落實資安策略,妥善保護關鍵資產,遭受攻擊時是否減少公司損失,乃至於透過員工評鑑等等,是比較符合實務上的做法。」
AI 資安時代來臨 企業與業者需審慎面對
過去幾年在晶片運算能力持續進化下,帶動 AI 演算法持續進化,也催生許多智慧服務問世。而在 AI 技術普及、隨手可得下,無論是資安公司或者駭客組織,都持續擴大 AI 技術運用。資安公司運用 AI 技術讓資安設備能偵測更多潛在的異常行為,駭客組織則運用 AI 技術縮短開發變種惡意程式、新型態攻擊手法的速度,以便可獲取更大經濟利益。
舉例而言,過往資安公司的滲透測試服務(Penetration Test,PT),都是必須透過資安專家針對每家網站特性進行客製化設計,模擬駭客可能採用的攻擊手法,進而找出現有網站的缺點,並提供相關檢測報告。但現今已經有自動化滲透測試工具,僅需透過預先制定好的版型、步驟進行測試,同時完成之後還能提供完整的測試報告。
羅乃維認為,AI 技術被大量應用在資安領域後,會讓企業面臨更嚴峻的挑戰。對資安公司來說,因為市面上很多資安工具都融入 AI 技術,有了需要發展合適自動化工具的壓力,否則恐怕難與其他業者競爭,亦無法在短時間處理複雜攻擊手法。有鑑於此,不管是產業資安或資安產業均需要正視 AI 帶來的衝擊與跳戰,及早因應方是良策。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
