供應鏈資安議題愈見複雜難解,台灣產業需跨界合作方能建立完善共識
隨著資安議題在台灣科技產業的重要性逐漸提升,日前DIGITIMES舉辦為期兩天的資安峰會,希望以資安為核心,就不同面向進行完整且深入的探討,兩天的議題涵蓋零信任、雲端資安、資安韌性、5G專網資安治理與供應鏈等。
活動邀請到台灣資安主管聯盟副會長暨遠傳電信資安長朱建國於第二天進行開場致詞,以「產業資安及協力分享-從供應鏈資安韌性出發」為題,闡述台灣科技產業因應資安的發展現況,以及民間的實際投入作為。
朱建國表示,近年他參與台灣大小資安活動,已經逐漸形成一股力量,台灣投入資安領域發展的人數逐漸增加,他滿心感謝,但投入資安發展的確也是相當辛苦的工作。以現今資安技術的發 展,其複雜性已超出我們的想像,一般來說,凡是企業網路涵蓋的地方,皆是駭客的可能入侵管道,也是資安必要的防守範圍,但即便都已經做到,台灣的資安防護力仍是遠遠不足。
朱建國進一步引述研究數據指出,台灣已有72%企業的供應商曾被勒索病毒攻擊,這會衍生出兩個問題,其一是企業若是甲方角色,該擔心的是甲方的供應商是否有被攻擊,甲方會被影響嗎?第二個問題則是角色顛倒,若企業是乙方,該擔心的是,乙方會因為客戶而被勒索病毒入侵嗎?更進一步的說,現今企業被駭客攻擊,原因已經不是企業本身,而是企業的上下游供應鏈,而且它的重要性極高,所以帶來的資安防護議題更加棘手許多。
而日前的新聞所報導的黎巴嫩的呼叫器炸彈攻擊事件,其實也與台灣的供應鏈有一定程度的關係。所以企業對於資安的思考面向,不能再侷限在自身,而是要進一步擴大到服務、產品以及供應商,但如此一來涉及的因素甚多,不可控的因素大幅增加,發生問題後責任該如何釐清,供應商策略又要如何建立等,都是需要思考的面向。
也因此,朱建國在會中特別提及台灣資安主管聯盟,該聯盟於2022年成立,朱建國擔任聯盟供應鏈資安召集人,進一步籌組了四個垂直供應鏈小組與軟體水平供應鏈小組,共32家業者參與,在歷經諸多會議後,於2024年4月分別完成了產業供應鏈資訊安全風險管理範本與軟體供應鏈資訊安全風險管理範本。朱建國表示,這些資料可以進一步協助企業在什麼地方要注意哪些事項,算是目前台灣的業界共識,但下一步要思考的,是該如何讓更多企業知道了解這些內容,藉此凝聚更完整的共識,進而讓產業形成更為正向的循環。
截至8月底前,台灣資安主管聯盟已有195家業者參與,有80%的公司為上市櫃企業,橫跨了27個不同的產業,也期待未來有更多業者能投入台灣資安主管聯盟,一起為打造台灣供應鏈資安完整性而努力。