英國國家網路安全中心(NCSC)發布網路評估框架(Cyber Assessment Framework, CAF)的最新版本,旨在協助關鍵基礎設施(CNI)供應商跟上威脅態勢的演進,能更有效保護能源、醫療、運輸、數位基礎設施和政府部門的關鍵服務。
NCSC 指出:「針對英國關鍵基礎設施的網路威脅持續攀升。隨著攻擊手法不斷演進,關鍵服務面臨的網路威脅等級不斷升級,而我們的集體防禦能力卻未能同步提升,兩者間的差距正日益擴大。因此,緊跟攻擊手法的發展趨勢,對縮小這一防護缺口至關重要。」
網路評估框架 v4.0 四大重點更新
網路評估框架 v4.0 相較於前一版本包含四項重大更新:
- 深化攻擊者手法理解
新增關於建立對攻擊者手法和動機更深層理解的章節,旨在協助關鍵基礎設施供應商改善其網路風險決策制定能力。
- 軟體安全開發與維護
新增確保關鍵服務所使用軟體安全開發與維護的專門章節。
- 強化威脅偵測能力
更新資安監控和威脅獵捕章節,以改善威脅偵測能力。
- 擴展 AI 相關風險涵蓋範圍
在整個網路評估框架中擴大對 AI 相關網路風險的涵蓋範圍。
廣泛採用與監管整合
NCSC 在制定最新版網路評估框架時,與多個使用該框架的監管機構和監督單位進行諮詢。該機構聲稱,網路評估框架目前已獲得「幾乎所有」英國網路安全監管機構採用,同時也被 GovAssure(評估英國關鍵基礎設施的網路安全保證計畫)所使用。
NCSC 已著手開發框架的下一個版本,以配合即將推行的《網路安全與韌性法案》(Cyber Security and Resilience Bill)。該法案將更新 NIS 法規,預計將於今年稍晚正式立法。
網路評估框架更新反映了英國政府對關鍵基礎設施網路安全的持續重視。先前,英國已將資料中心認定為關鍵國家基礎設施,顯示政府正積極擴大對數位基礎設施的保護範圍。
對台灣廠商的影響分析
網路評估框架的更新對台灣外銷英國的製造商將產生深遠影響。特別是在能源設備、醫療器械、交通運輸和 ICT 設備等領域的台灣廠商,將面臨更嚴格的資安合規要求。新框架強調的軟體安全開發標準,意味著台灣廠商必須建立完整的安全軟體開發生命週期,並提供長期的資安更新支援。此外,產品如涉及 AI 功能,還需符合擴展的 AI 資安標準,這將顯著增加研發成本和產品認證複雜度。
不過,這項挑戰也蘊含著市場機會。率先符合新標準的台灣廠商將在英國關鍵基礎設施市場中獲得競爭優勢,特別是在英國政府優先採購符合網路評估框架標準產品的政策導向下。建議相關廠商應立即評估現有產品的資安合規缺口,並考慮建立內部資安團隊或與專業資安公司合作,將此次框架更新視為提升產品競爭力和拓展歐洲市場的契機。