接軌國際趨勢 臺灣加快上雲速度
根據 MIC 調查報告顯示,2023 年臺灣企業對於公有雲服務多呈現正面的態度,無論是採用的企業家數、投入金額都有相當程度的提升。
採訪/林振輝、施鑫澤·文/林裕洋·刊期/2023.10
隨著公有雲服務可靠度與穩定度獲得肯定,加上服務項目日益多元,以及具備隨取即用、依照使用量付費的特性,確實能降低基礎架構維運成本,滿足創新專案的研發需求。所以在長達三年的疫情期間,加速企業推動數位轉型與上雲的速度,以便能強化後疫情時代的競爭力。
根據 MIC 定期對國內企業進行 IT 投資(IT Spending)調查,2023 年製造、醫療、金融、批發零售、營建等主力產業,對於公有雲服務多呈現正面的態度,相較於 2022 年,無論是採用的企業家數、投入金額都有相當程度的提升。以製造業為例,2022 年受訪企業中採用雲服務的比重已達 75%,未來兩年更有 90% 企業有意願導入各式雲服務。而截至目前,批發零售業有超過 80% 受訪企業,已開始採用公有雲平台上的各種服務。
資策會產業情報研究所(MIC)所長洪春暉指出,金融、醫療等產業雖然採用公有雲比例及項目等相對保守,但因為產業本身有高度隱私保護、資安防護的需求,因此有相對嚴格的於法令規範,致使對於雲服務的採用步伐相對較慢。不過,目前主管機關也在積極研議鬆綁使用公有雲服務的限制,將有助於臺灣公有雲服務市場的蓬勃發展。
值得一提,為協助臺灣金融產業接軌國際趨勢,同時因應地緣政治的挑戰,金管會在 2022 年底公布「金融資安行動方案 2.0」之外,也在 2023 年 8 月發布「金融機構作業委託他人處理內部作業制度及程序辦法」修正,以及「保險業作業委託他人處理應注意事項」修正,及「證券暨期貨市場各服務事業作業委託他人處理相關規定」,大幅鬆綁金融業上雲規定。如銀行業者使用境內雲端服務,如處理一般性事務或辦公應用,不需要事先申請核准或備查等。
享受資料自主權與便利性 混合雲成主流
臺灣經濟結構以中小企業為主,過往給人對創新科技接受度較低,比較不重視資訊化的刻板印象。不過,隨著全球商業環境競爭加劇,加上數位科技重要性日增,根據 2022 年 MIC 與 IMD 合作的產業調查發現,在數位化思維部分, 75% 臺灣企業經營階層(C-suite)已關注到數位轉型議題,與國際 82% 相去不遠。在數位化能力分析部分,60% 臺灣企業開始運用各種數位化能力因應轉型,包含在「內部營運」、「外部顧客關係」與「重塑商業環境與模式」等層面,其中以最佳化內部營運為優先。
在數位轉型認知與執行面部分,55.7% 臺灣企業已正式制定數位化策略,但其中仍有超過半數企業數位化策略仍缺乏一致性,泰半都是以單點化、碎片化等方式執行。產業運用數位化已為既定趨勢,且多數比例企業有意採行,但該如何執行則多數臺灣的企業仍然感到疑惑。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
若從在營運規模方面分析企業對雲端需求差異,新創企業、中小企業等因預算之限,較傾向使用公有雲平臺上的各項服務。中大型企業則考量自主性等,較偏好打造私有雲,但為提升企業資訊架構彈性,也開始加快布局公有雲平臺,打造混合雲平臺,期盼透過具有靈活快速的彈性,適合臨時性、一次性任務,也帶動未來雲地整合服務的需求。
洪春暉表示,各產業特性不同,對於使用公有雲服務的方向沒有太大差別,大致上以視訊會議、電子郵件、企業溝通軟體,與日常工作流程息息相關的基礎服務為主。因應 AI、資料分析等應用盛行,我們預估除前述企業基礎應用外,未來將會在著重在各類垂直產業應用,如醫療照護業的電子醫療紀錄,以及製造業與金融業的資料探勘和 AI 分析等。
雙軸轉型成主流 落實永續發展唯一法門
數位轉型已是企業邁向永續必要路徑,而隨著 ESG 浪潮興起,淨零碳排已成為推動轉型不容忽視的議題。MIC 針對數位轉型做出完整的定義,即運用數位科技協助掌握環境變化,調整企業價值創造與價值傳遞方式的策略與行動。此種行動通常表現於新的商業模式、運用累積的數位資產推出新產品或新服務,同時重建組織文化與制度。換句話說,因應各國政府針對淨零碳排制定的相關法規,企業也必須透過數位轉型同步解決,才能為永續發展奠定穩健的基石。
過去幾年備受關注的歐盟 CBAM(Carbon Border Adjustment Mechanism, 碳邊境調整機制),在歐洲議會於在 2023 年 5 月 10 日簽署後,歐盟也宣布此法規將於 2023 年 10 月正式生效。歐盟 CBAM 初期主要是針對生產過程中會產生高度排碳的八大產業,如水泥、鋼鐵、鋁、肥料等,在進入歐盟市場之前需提交碳排放相關資料,過渡期間並不需支付碳稅。目前 CBAM 過渡期將在 2025 年底截止,預計 2026 年 1 月 1 日起將開始正式實施並收費。
[ 推薦閱讀:碳管理系統初探建議 ─ 管理好會計帳與碳帳來進行碳盤查 ]
為因應全球市場的變化,企業必須同步推動數位與綠色永續的雙軸轉型,才能透過彼此之間的互補,逐步邁向永續經營之里程碑。然而 MIC 觀察發現,數位轉型、綠色轉型在推動上有幾個共通課題,首先不只是底層工具面的改變,還涉及到組織面的改變,其次兩者在企業內部都需要「由上而下」,從 Level C 以上的人員來推動。最後,兩者都難以用「獨善其身」的思維來進行,如數位轉型除涉及到組織內部的管理,也可能涉及到整體產業鏈的轉型課題,而在計算「產品別」的碳排放量時,也需要上下游供應商的協力,才能落實永續轉型的目標。
「在我們的想法中,數位轉型、綠色轉型並不是兩個並列、平行發展之事。數位轉型思維與解決方案,其實也可協助達成綠色轉型的目標。如近幾年 AWS、GCP、Azure 等公有雲業者,近年在 ESG 的風潮之下,已提出許多以雲端為基礎的淨零管理解決方案,滿足雙軸轉型的需求。」洪春暉解釋:「除此之外,國際上也有許多新創業者,提出以 AI 為基礎的減碳成效預測管理解決方案,這都意味善用數位與資訊工具的企業,也能擁有較佳因應能力來達到綠色轉型。」
淨零碳排浪潮來席 推動碳盤查迫在眉睫
隨著全球淨零碳排意識的抬頭,無論是來自各國政策規範或是供應鏈客戶要求,均迫使產業加速碳盤查的腳步。加上環保署、金管會等主管機關,對於上市櫃公司或碳排大戶等都制定相關的碳盤查規範,也讓產業必須加快推動碳盤查及碳足跡追蹤,否則可能在商業市場、法遵上面臨極大挑戰。回應全球永續發展行動與國家淨零排放目標,2022 年 3 月 3 日金管會發布「上市櫃公司永續發展路徑圖」,將分階段推動全體上市櫃公司於 2027 年完成溫室氣體盤查,2029 年完成溫室氣體盤查之確信,營造健全永續發展生態體系。
企業推動碳排放盤查的進度,與公司內部資訊系統完整性有極大關連,多數企業往往因應上有夥伴或法規要求,可能僅在部分系統導入碳盤查工具、透過手動記錄方式。以至於在進行碳排盤點時,無法涵蓋生產的完整生命週期,如直接排放、間接排放以及供應鏈端,往往造成碳盤查的資料失真。
根據 MIC 觀察,當前臺灣產業碳盤查及碳足跡追蹤進度,上市櫃公司多已著手進行相關碳管理工作,並逐步從組織盤查擴散至供應鏈的盤查,甚至是個別產品的碳足跡試算。然而對於中小型企業而言,碳盤查困難度仍高,因此經濟部也針對盤查工具、產業輔導及人才培育等面向,提供盤查計算器、低碳輔導計畫及淨零人培班等轉型協助。除此之外,眾多臺灣眾多中心廠業者,透過以大帶小的減碳模式,協助供應鏈夥伴進行碳盤查與減量,藉此提升產業中規模較小的業者,接軌淨零轉型的浪潮,以便在國際吹起綠色供應鏈的浪潮,避免被國際品牌業者排除在外。
洪春暉表示,在產品碳足跡部分,企業除透過在產品設計與製造生產階段,將碳排放量納入研發考量外,近期也可見越來越多資服業者開始著手相關碳追蹤管理平臺的開發建置,期望藉由自動化的碳足跡管理與計算,協助企業掌握更加完整的碳數據。因此,企業在推動轉型過程中,若能同步將碳盤查納入考量,應該有助於降低整體轉型的成本與時間,也達到接軌國際趨勢、符合法遵的要求。
SBOM成趨勢 企業須加速推動
在特殊地緣政治影響下,2016 年臺灣早已喊出資安等於國安的口號,並且制定相關資安防護政策,並將八大關鍵重要設施列入保護範圍。同時期,歐美國家似乎還感受到資安威脅的重要性,直到 2020 年底爆發 Solarwinds 供應鏈攻擊事件,導致多個政府機關與企業受害之後,才開始警覺到駭客攻擊已成為國家安全不容忽視的挑戰。
而 2021 年 5 月,美國爆發最大燃油管公司 ─ Colonial Pipeline,遭勒索軟體攻擊事件,導致民眾生活受到極大衝擊。當時除FBI介入處理之外,美國總統也在事後簽署美國 EO14028 行政命令,要求與美國政府合作的軟體供應商,均需提供「軟體物料清單(Software Bill of Materials,SBOM)」,避免供應鏈攻擊事件再度上演。而歐盟亦提出網路韌性法案,要求製造商需針對已識別的漏洞,提供安全支援及軟體更新,達到加強歐洲的網路安全規範。
洪春暉說,相較於傳統的軟體清單,SBOM 優點在於具有標準一致性,便於和軟體開發部署工具、弱點管理工具整合串接,以滿足各項法規要求。所以不光歐美國家,在金管會的金融資安行動方案 2.0、衛福部的「適用於製造廠之醫療器材網路安全指引」等中,也已要求提供 SBOM 軟體清單。面對此趨勢,企業應將 SBOM 納入軟體開發流程中,追蹤記錄開源套件,再搭配盤點工具產出符合標準格式的 SBOM。
在管理協力外包廠商部分,MIC 建議必須管理外包商對開源軟體的使用狀況,並驗證外包商所提供 SBOM 資訊是否正確。在取得原始碼的狀況下,依其開源軟體套件相依性,確認套件盤點完整與正確程度,如未能取得原始碼,則建議企業自身強化對目的碼(Object Code)的分析能力,以完成驗證。
考量到SBOM僅提供軟體的組成、來源等資訊,然要避免資安問題下,MIC建議企業要掌握服務與產品的弱點狀況,且必須追蹤國際弱點資料庫,如美國國家弱點資料庫(National Vulnerability Database,NVD)的弱點發布,確認企業受到影響範圍與嚴重程度。唯有如此,才能在發生資安事件時,透過SBOM協助,達到協助縮短反應時間、降低損失。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
