隨著高科技產業導入IoT和人工智慧技術而面臨愈來愈多的資安風險,資安人舉辦的「2023高科技產業資安趨勢論壇—雙軸轉型,以零信任建構高科技營運韌性」關鍵對談上,邀請資安專家分享高科技產業資安治理實務經驗。對談內容指出,資安不是只有IT主管或資安長之事,而需所有人參與,平日確實演練,真正落實公司整體流程,加強公司與上、下游供應鏈合作溝通,共同應對駭客攻擊。
資安真正的挑戰反而是「人」
當天的關鍵對談,由工業技術研究院資訊與通訊研究所組長卓傳育擔任主談人。針對目前較嚴重的資安風險當如何解決,ASML研發部門亞洲區資訊暨資安管理資深經理翁振榮表示,目前大部分公司面臨最嚴重的挑戰是勒索軟體攻擊,這些攻擊不斷變化,且非常有針對性。
他指出,市面上相關防禦產品工具均很充分,但以他多年經驗來說,真正的挑戰反而是「人」,也就是如何導入流程,如何正確使用這些解決方案。他說,當公司導入某些解決方案時,首先會面臨改變,但到後面真正執行的階段,往往忽略一些經常去審視的部分,或忽略流程是否有需優化之處。他建議可透過一些有用的防禦研究報告等資訊,重新檢視公司內部管理與作法。
欣銓科技資訊技術開發處處長洪銘琪認為,以務實的角度來說,每家公司在資安上均可能投入大量設備與工具,但有些公司本身IT人員可能存在技術不足、偷懶等問題,或對這些設備沒那麼熟悉。此外還要考量公司IT人員所做的這些動作「究竟該信任到什麼程度」。
他指出,當前網路架構目標是「零信任」,對人也要同樣的零信任,比如IT人員說有備份,真的是有備份嗎?很多時候他們可能忙碌或忽略細節,導致漏洞出現。
台灣駭客協會理事王仁甫則表示,台灣面對資安最大風險是「對外吃到飽,對內不可考」,需透過外部力量,利用外部稽核程序,才能解決內部問題,「自己不敢當壞人,只好找別人當,但這件事情上,需得到老闆支持。」除外部力量外,對內部同仁也需賞罰分明,讓同仁正確負起責任,才能控制風險。
不是「你做好就好」,而是上、下游一起好
談及資安治理目前遇到的困境與應對,翁振榮表示,除思考如何得到高層主管支持外,供應商也是一大挑戰。他說,近來可看到一些資安威脅,慢慢從對公司的攻擊轉換成對供應商的攻擊,「因駭客就是會從相對弱的一環下手」,如何協助他們進行資安防禦相當重要。他鼓勵大家積極參與社群,與同業間交流分享,可達事半功倍之效。
洪銘琪說,資安防護不是「你做好就好」,而是上、下游供應鏈一旦出狀況,就會面臨無法預知的問題。他說,公司曾經有一客戶,所有系統設備都透過電子郵件被駭客攻擊,花了相當長時間解決,「大家要思考,當面對如此慘痛的經歷,公司該如何應變?」
與談人皆指出「演練」二字的重要性,公司組織可透過演練,提前部署發生任何情況下的各種機制與流程,萬一事件真正發生時才不至手忙腳亂。
曾參與外交部資安防禦的王仁甫提出建議指出,公司需與供應廠商有契約簽訂,要求委外廠商定期舉行防護會議,「對方(供應商)的資安層級需對接你的(公司)防護標準,如公司資安做到A級,對方就必須做到A級」,也需透過演練了解彼此資安技術層面上是否得以互通。
資安人「2023高科技產業資安趨勢論壇-關鍵對談」由工業技術研究院資訊與通訊研究所組長 卓傳育(右一)主持,ASML研發部門亞洲區資訊暨資安管理 資深經理 翁振榮(左一)、欣銓科技資訊技術開發處 處長洪銘琪、台灣駭客協會理事 王仁甫(右二)參與對談。
AI要壓力測試
與談者也討論未來面對上雲或生成式AI需關注的資安重點建議。翁振榮說,過去許多產業排斥上雲,但現在上雲的企業愈來愈普及,當前考量的是如何保護這些重要客戶資料,或符合法規。
他說,相信大部分研發人員都非常渴望透過AI節省許多時間,AI趨勢勢不可擋,然而最重要的是GRC概念,也就是管理、風險及法規(Governance, risk and compliance),確保公司從法規面進行風險防禦,專責人員也得以釐清權責等。
王仁甫說,公司在導入或進行新系統時,一定分成核心與非核心,系統上架一定從虛擬環境、演練開始,面對AI也是一樣。
他說,AI與過去的核心系統不一樣的是,過去的核心系統是完全被動,AI則變成主動,故風險更難控制。在面對更難控制的時候,壓力測試就更為重要。
「進行壓力測試時,需做三件事。」他說,第一是AI核心效能,也就是AI的時間能持續多長,第二是AI的邊界會變更,也就是要知道「AI的演算法,會如何影響整個製造領域,影響層面究竟有多廣、多遠。」第三層面就是治理上的資料與人員問題等。
對談最後,卓傳育總結指出,要做好資安不是一個人的事,而是要知道整個環境有怎樣的人才與資源,彼此如何搭配才能完成自己的目標。