第十四屆CIO價值學院第四堂課會後報導
隨著疫情、5G、AIoT等趨勢浪潮碰撞在一起,將使得資訊安全議題出現何等變化?是否讓企業因而承受更險峻的資安威脅?確實是一道非常重要的課題
文/明雲青
回顧過去的一年多時間,全球始終籠罩在疫情的衝擊下,不論為民眾日常生活、或產業經濟發展,都造成了極其深遠重大的影響。最大的轉變,在於許多企業為了因應遠距辦公或居家辦公的需求,紛紛加快數位轉型的腳步,大量啟用雲端服務與遠距協作軟體。
[ 敬邀參與2022年度CIO大調查活動,掌握大環境企業IT脈動缺你不可 ]
儘管企業的轉型應變措施,確實收到莫大成效,使得內部員工與外部顧客或協力廠商之間,即便因為疫情阻隔、以致不無法面對面接觸,仍可透過網路,巧妙地建立彼此溝通與協作的順暢管道,讓企業的營運齒輪持續運轉。但正當許多企業主讚嘆數位化力量確實強大之餘,殊不知危機卻逼近身邊,使得勒索病毒攻擊事件的頻率和數量直線飆升,且因駭客手法日趨精進,更讓企業猝不及防,導致一些看似為資安模範生的中大型知名企業,也紛紛遭到駭客的毒手。
CIO協進會理事長盛敏成博士認為,隨著疫情、5G、AIoT等趨勢浪潮碰撞在一起,將使得資訊安全議題出現何等變化?是否讓企業因而承受更險峻的資安威脅?確實是一道非常重要的課題,值得各界專家深入探討。
5G結合AIoT 形成驅動數位經濟的雙箭頭
行政院政務委員郭耀煌博士指出,眾所皆知5G同時兼具了幾個特性,包括很高的頻寬、很大的連結,並且能夠在可靠的情況下提供低延遲應用,因此5G確實足以驅動很廣泛、很多元的創新應用;若把5G結合AIoT,事實上就是未來數位經濟成長最主要的驅動力。
在此前提下,政府幾年前規劃「數位國家‧創新經濟發展方案」(簡稱DIGI+方案)時,便將5G與IoT列為先進數位科技的重點研發項目,之後幾年不僅針對5G的發展挹注可觀經費,連帶啟動了諸多5G相關的公眾服務應用,遍佈於智慧城鄉、智慧交通、智慧農業、智慧防救災等等領域。惟郭耀煌博士認為現今最成熟、且深具成果的5G應用項目首推智慧製造、智慧工廠,比方說某電子組裝大廠為伺服器工廠導入5G專網,將線上瑕疵檢測提升到「5G+AI+AOI」的格局,使得檢測的準確率提升到九成以上,製程直通率推進到逼近九成,在此同時,需要用人工介入覆判的人力大降50%,另透過5G專網協助導航無人搬運車(AGV),這部份效率也提升10%,可謂成效卓著。
國家通訊傳播委員會(NCC)委員孫雅麗博士指出,台灣如同全世界的其他國家,都把5G網路視為國家、社會、企業邁向全面數位化的關鍵基礎設施。係因5G網路建設不同於3G/4G或Wi-Fi網路,它是以應用服務為基礎的網路設計,可因應不同企業或產業的特性,來客製化網路設置,來滿足企業及產業的數位化需求,其中5G企業專網堪稱非常重要的加值動能。
只不過根據她目前的觀察,迄今多數企業仍未能充份利用5G的高頻寬、低延遲、高可靠度等特性,距離全面數位轉型目標仍有落差,此乃因為行動業者習慣先與企業用戶合作,把5G網路佈建起來,再設法拉出企業的5G需求;如此一來,企業本該優先擬定的執行策略與願景目標反而相對模糊,以致5G未能真正被整合落實到企業營運,可謂一個急待填補的Gap。
而孫雅麗博士也對德國Bosch的智慧工廠多所推崇,直指這是台灣企業值得參考的範例。據悉Bosch在前端有AGV,還有許多生產設備,它們都有5G網路介面,而其工廠場域裡頭也佈建5G基地台、連線及後端核心網路,而在核心網路的後面才是真正的「大腦」,即是用於形成AGV、機械手臂等設備控制決策的AI及 Big data 大數據分析機制。
基於複合性設計 確保5G應用安全
盛敏成博士認為,5G需要與整合IT及OT基礎架構,形成非常珍貴的資訊資產,但這個無疑正是駭客最覬覦的標的,因而衍生諸多資安議題。因企業十分關心,針對5G專網的資訊安全策略考量,跟原來的資安決策有何不同?需要考量到哪些新的面向?
郭耀煌博士說,首先就5G系統本身的資安設計策略來看,當然需要根據5G的三個特性規格來設計,但光是這樣是不夠的,因為談到5G應用、尤其是5G專網應用,將涉及不同的OT場域,而OT也會連結到IT,所以整個資安設計上,必須因應OT加IT做整體策略規劃,尤其OT與IT的銜接處,需避免出現破口。
再者5G垂直應用往往是異質整合的系統環境,內含許多不同的運作型態、設備特性,因此在做整體的資安設計策略時,必須考慮複合性設計。接下來現今5G系統應用觸角已延伸到關鍵基礎設施(CI)領域,此領域一旦遭受資安事件、後果不堪設想,所以在資安設計策略上,必須設法達到早期偵測、早期預警,也要能夠在事件發生後展開快速回應,進行風險管控與損害控制。
更重要的,5G服務供應商本身的資安治理成熟度十分關鍵,為此政府正在力推「網路安全成熟度模型認證」(CMMC),也建議供商應設法以全公司為範圍導入ISMS資訊安全管理系統,才能真正落實資安治理,將資安的考量融入整個系統架構設計。
孫雅麗博士說,從NCC的角度來看,5G分為兩種網路,一是公眾電信網路、另一個是企業5G專網。在公眾電信網路,2019年時NCC就超前部署,成為全球第一個要求行動業者提交5G資通安全維護計畫書的國家。至於企業專網,一開始NCC考量既然偏向企業應用,政府不宜管制太多,讓企業為自己的環境及場域負起資安責任;然而近一年多來,全世界許多重大資安事件都出現在私領域,甚至會衝擊到國家經濟命脈,因此政府雖然無意對行動寬頻專網多做管制,但仍思考要運用何等做法,來確保企業在導入5G與推動數位轉型的過程中,具有安全可靠的韌性,以利維持社會安定、經濟安全與國家安全,而NCC正在研擬相關措施。
她同時強調,資安不會是單一5G網路的事,應該是企業專網環境下所有設備均應納入考量,因為它們彼此連結,任何一個環節被駭,都可能損害到其他系統或設備。因此在這樣的環境下,資安的實施格局不應侷限於傳統硬體,更應關心軟體層面,故NCC去年(2020)提議設置5G軟體安全實驗室,然後獲得行政院核准成立,此實驗室聚焦四大議題,包括5G專網路裡的軟體系統與應用程式安全、軟體部署與更新的安全管理、安全可信賴的5G供應鏈管理,以及非關技術層面(如政策、法規制度)的資料保護措施。另外,該實驗室也將協助台灣廠商的產品取得資安認證,進而行銷國際,以利台灣ICT產業保持競爭優勢。(文/明雲青)
基於安全的設計 打造真正可信賴的系統
綜觀近年全球的資安事件,明顯可見攻擊的頻率、強度以及殺傷力都更勝以往,讓人越來越擔憂;但數位化腳步是不能停的,該如何是好?
孫雅麗博士坦言,面對日趨複雜的資安威脅,企業要想知道所有可能的攻擊樣態、種類,其實不太可能,要想阻止所有的攻擊和破壞,也不太可能。儘管如此,企業仍需設法建立十足的資安韌性。資安無法做到100%,但如果你的環境遭到精心策劃的網路攻擊,必須有辦法及時偵測到,然後迅速隔離被破壞的部分,並確保其餘部份持續運作,這就是所謂的韌性。
要養成足夠的韌性,企業必須做到一件事,即是遵循「基於安全的設計」(Security by Design)原則,從系統一開始需求設計時,便將資安DNA納進去,唯有認真做好安全的設計、安全的開發、安全的測試、安全的上線等每一個步驟,才能夠產生安全可信賴的系統。此外她認為今後企業應致力培養軟體安全、供應鏈安全甚至系統安全工程的資安人才,尤其可趁5G資安還算熱門的時候,順勢去檢視並補足人才缺口,而NCC的5G軟體安全實驗室也能助一臂之力,提供免費服務,讓企業不管遇到軟體產品的原始碼問題、執行碼問題,都可以拿到實驗室執行檢視,無形中也協助鍛鍊企業資安人才的基本功。
郭耀煌博士說,5G是一個以應用服務為導向的通訊架構,既然如此,其適用的資安人才,應有不同層次的需求。從整個5G應用系統來看,資安需求來自網路層、資料層、應用層等不同考量與需求,彼此規格都不一樣,每一塊都必須要有對應的資安人才。
[ 加入 CIO Taiwan 官方 LINE 與 FB ,與全球CIO同步獲取精華見解 ]
例如以資料層來看,5G應用系統涉及大量資料的收集與傳輸,所以這些資料在傳輸或儲存的過程,通通需要受到保護,這方面的人才訓練與培養,過去的確較少,未來應當要補強。持平而論,資安問題往往是禍起蕭牆之內,尤其從資料層來看更是如此,所以內部資料的管理與治理極為重要,如何避免外洩、避免被不當使用,在在考驗企業的基本功。
另外我們必須了解,5G垂直應用經常不僅單一機構在使用,而是一個基於供應鏈或生態系的共用概念,甚至不同單位的資料需要彼此流通,而這些資料在5G場域流通、保管或加值應用時,不同Stakeholders的資料權益如何受到保護,需要被審慎考慮。至於應用層也是一樣,因為直接面對眾多終端使用者,更需思考如何確保每一個用戶都不會被勒索、不會被駭客釣魚,這些都需要有資安設計人才來處理,而且他需要有能力從垂直應用的角度來看待資安需求,換言之,企業必須設法培養一些能跨越OT領域、具有產業知識(Domain Knowledge)的資安人才,才可望有更為周延的資安設計,只因為這類人才的思維,相較於單純IT資安治理大不相同。
「人才的需求永遠都不夠,資安人才也是一樣,」郭耀煌博士預期在數位發展部成立後,將設有資通安全署,以及身為行政法人的國家資通安全研究院、這些單位都可與結合一些現有的財團法人,共同肩負資安人才的培育重任,一方面幫助政府培養資安人才,二方面也希望與業界合作,一起培養產業所需要的各類型資安人才。(文/明雲青)
(本文授權非營利轉載,請註明出處:CIO Taiwan)
