集眾人之力維護資安 華碩當仁不讓
高科技產業,近幾年遭到駭客組織攻擊時,幾乎都只能獨立對抗,華碩因此籌組台灣高科技資安聯盟。更進一步,在 TCA 協助下,號召成立了台灣資安主管聯盟。
採訪/林振輝、施鑫澤‧文/林裕洋‧刊期/2022.7
面對變化多端的攻擊手法,加上入侵管道多元,如釣魚郵件、詐騙廣告、一日網站等等,現今企業面臨資安威脅比以往更為嚴峻。此狀況之下,光靠單一業者、單一工具,已經難以防堵駭客的入侵手法,唯有透過多樣資安設備之間的搭配,產業之間的情資分享等,才能將營運風險降到最低。如早在 2017 年金管會在提升金融體系資安防護能量的前提下,打造「金融資安資訊分享與分析中心(Financial Information Sharing and Analysis Center , F-ISAC),助金融資安揮別單打獨鬥,協力營造金融資安聯防體系。而衛福部鑑於 WannaCry 對台灣醫療院所帶來極大衝擊,於是也在 2019 年主導成立 H-ISAC(資訊資安分享與分析平臺),要求符合處於關鍵基礎設施的醫院加入,也鼓勵非關鍵基礎設施的地方醫院、供應商加入。
[ 推薦下載: 2022年度CIO大調查報告PDF ]
相較之下,支撐台灣經濟發展的高科技產業,以至於近幾年遭到駭客組織攻擊時,幾乎都只能獨立對抗。為此,2021 年華碩集團在 TWNIC 協助下,籌組「高科技資安聯盟」,涵蓋上游的 IC 設計、封裝測試、系統組裝等,目前只有 10 家台灣高科技業者受邀加入。此聯盟會透過情資、經驗分享,強化來因應資安威脅的能力。
華碩集團資安長金慶柏說,現今高科技產業已成為駭客鎖定的攻擊目標,其中台灣因為是許多國際品牌的代工廠,也是全球半導體產業的重鎮,所以近兩年台灣廠商遭受威脅非常巨大。不少業者都曾遭受勒索軟體的威脅,有鑑於金融產業、醫療產業等,紛紛透過 ISAC 方式分享最新資安情資等,且整體成效相當不錯,所以華碩集團便扮演領頭羊角色,在上游廠商、政府單位等協助下,成立台灣第一個台灣高科技資安聯盟。
整合高科技能量 對抗資安威脅
創立於 1989 年的華碩集團,以提供頂尖主機板起家,隨後跨足至高品質的個人電腦、螢幕、顯示卡、路由器等,至今已成為全球知名的跨國科技企業,可提供個人、企業所需的全方位科技解決方案。該公司始終對科技懷抱熱情、用創新驅動發明至今,持續研發設計新世代的智慧創新技術,以無與倫比的絕佳體驗,為消費者織就美好數位生活。除此之外,華碩集團也致力推動永續,績效受到全球投資機構、國際組織及政府單位等外界肯定,於治理、社會、環境及創新皆有卓越成績。
華碩集團之所以攜手夥伴成立高科技資安聯盟,在於觀察到台灣在資安領域面臨許多困境。在台灣人口出生率下滑下,不光導致國家提早邁入超高齡社會,也陷入理工人才不足的困境,更遑論資安人才有了極大缺口。在台灣半導體產業引領全球發展,各家業者紛紛擴大投資下,人才缺口問題更形嚴重,因此產業、學校、政府單位能否攜手合作,將更形重要。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
金慶柏指出,根據統計,美國資安人才缺口約高達 50 萬,台灣則有 4 萬左右的缺口,這不光要依靠學校培養相關人才,企業本身也得強化資安共識,提升資安團隊的能力。例如,現今企業遭受到資安威脅,多半肇因於沒有定時安裝修補程式所致,資安團隊必須使用合適工具才能因應此挑戰。所以高科技資安聯盟在彼此分享經驗、工具、做法之外,也會向政府機關提出相關建言,讓相關資安政策在推動時,能符合產業需求、解決痛點等,透過政府、民間攜手合作方式,降低資安威脅帶來的衝擊。
因應金管會法規 台灣資安主管聯盟問世
誠如前述,台灣已成為駭客組織鎖定的焦點,2021 年根據統計上市櫃公司共發生 16 件資安事件,其中高科技產業占 56%,製造業占 25%,零售服務及文創占 6%,金融保險業占 3%。有鑑於此,2021 年 12 月 28 日,金管會新版「公開發行公司建立內部控制制度處理準則」正式發布施行,並針對企業規模大小區分三個級別,其中資本額破 100 億、前 50 大市值的上市櫃公司等屬第一級,應設資安長與資安專責單位,並需在 2022 年底完成。至於第二級公司需設置資安專責單位,並得在 2023 年底完成,第三級則是鼓勵設置至少 1 名資安專責人員。
為此,在台北市電腦公會(TCA)協助下催生出「台灣資安主管聯盟」,並由華碩集團資安長金慶柏擔任第一屆會長,協助會員因應金管會法規,也希望整合整體產業力量,提升台灣產業資安韌性。根據台灣資安主管聯盟公佈資料顯示,服務產業涵蓋高科技、機械、紡織、食品、金融、電信、物流運籌等,將全力給與各產業的資安長、資安團隊協助與支援,以便協助企業建立合適的資安防護能力,未來更將持續擴大各產業別,以及納入供應鏈合作伙伴等。
「企業要因應金管會的資安政策,勢必要在最短時間內延攬資安長、建立合作團隊,但往往陷入不知道從何挑選與評鑑資安長的能力,以及招募資安專責人員,乃至於從公司內部自行培訓等。此外,建立資安防護網、法規遵循等,亦是企業不容忽視的公司治理挑戰。」金慶柏解釋:「至於供應鏈資安也是近期產業最關心的議題,企業在資通安全的風險管控上,必須謹慎思考、規劃等,打造完善資安管理計畫與制度,才能兼顧整體產業競爭力。」
金慶柏表示,現階段台灣資安主管聯盟的工作重點,放在資安主管核心能力養成、專業資安人才培訓整備、資安產業服務能量鏈結、資安管理制度合規建立等,同時也將扮演政府和產業界間的溝通橋樑,針對產業最關心的資安議題與主管機關交流,並針對企業資安議題提出政策建言,以維持台灣產業競爭優勢。
成立資安管理委員會 華碩集團重視資安
身為全球知名高科技公司,華碩集團也致力推動資訊安全管理組織與政策,並在為強化企業永續經營前提下,已成立資安管理委員會並由執行長監督管理。目前,資安管理委員會已推動 ISO 27001 管理系統,建立符合國際標準的管理程序,規劃、執行及檢討內部的資安活動,驗證各項活動及其相關結果,以符合資訊安全管理系統之目標要求,藉以掌握公司資訊安全的可能缺失,適時執行矯正行動及追蹤確認,確保其有效性及持續之改善。
華碩集團的資安管理委員會成員是不同領域專家所組成,透過固定舉辦例會以進行內部團隊持續分享,並由執行長對資訊安全策略進行監督,加速新政策佈達與各單位意見溝通的機制建立。而為確保資訊安全措施或規範符合現行法令之要求,每年審視資訊安全政策,如確保相關業務資訊之機密性,防止敏感資訊及消費者個人資料免於因內部或外部、蓄意或意外之各種威脅與破壞,導致業務資訊遭受竄改、揭露、破壞或遺失等風險。
在 2020 年度資訊安全管理績效部分,華碩集團已建置符合國際標準之資訊安全管理系統(Information Security Management System, ISMS),ISO/IEC 27001:2013(含資訊安全管理系統國家標準 CNS 27001:2014)驗證,範圍除企業內部 IT 核心系統、關鍵對外服務網站與電子商務系統,並增加驗証範圍至 SaaS AI 雲端軟體服務。
金慶柏說,因應資安的威脅與日俱增,除研發過程需符合安全設計原則外,製造階段的供應鏈資安管理,也是相當重要的環節之一。為持續提供給客戶更安全的產品,我們也在 2025 永續目標加入資安相關的內容,包含研發環境安全提升與強化供應鏈資安管理,讓資訊安全落實在每個環節當中,使資安防護的過程不只是單向的規範制定與控管,更是進一步的與供應鏈雙向攜手聯防、共同合作,以保護華碩資訊資產免於因內、外部的各項風險衝擊,確保公司資訊安全管理系統的機密性、完整性與可用性。
2020 年華碩集團的資訊安全管理目標與成果分成三大類,首先因應 COVID-19 疫情影響,使用高安全性設備、多重認證機制、定期審核授權狀況,強化員工遠距在家辦公的資訊系統服務與網路連線之安全性。其次,加強員工資安意識與防範電子郵件詐騙,實施全體員工資訊安全教育訓練,完訓率達 99.9%,並進行 3 次社交工程演練。最後,則是於 2020 年 10 月完成營運核心資訊系統之持續營運能力的異地備援切換演練,展現不俗成果。
保護產品資訊安全 維護公司信譽
華碩集團採用的資訊安全管理架構,是依循美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)─ 網路安全框架(Cybersecurity Framework),建構華碩資訊安全管理架構,包含五個核心面向,分別為風險評鑑、資訊安全保護、資訊偵測、產品安全暨通報與回應,與資訊服務持續營運。透過五大面向檢視與管理資訊安全風險,對應到事前、事中與事後的環節,顧及資訊管理安全生命週期的管理策略。
金慶柏表示,華碩集團資安思維不光在公司,也要盡一切努力確保華碩產品的安全,以保護客戶隱私。所以我們始終致力於根據所有適用的法律和法規,公司安全和個人資訊保護措施,並歡迎產品用戶提供有關產品相關安全,或隱私問題的通報。因此,我們也建立產品暨資訊安全通報管理平台,以利消費者及資安專家或研究人員,提報華碩產品或資訊系統之安全漏洞或問題。
此一平台為自動化管理通報的案件,並有產品安全應變處理小組進行橫向聯繫以完善內部通報機制,且維護案件通報及提升回應之管理品質,透過此平台會不定期發布華碩的產品安全性資訊,讓消費大眾能有管道瞭解華碩產品安全之更新,且與網路社群的資安專家或研究人員,藉此平台保持良善之溝通及互動。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
