觀點

未來數位科技安全該如何認識合格供應商與信賴服務供應商

2019 / 06 / 27
邱述琛、江昭明
未來數位科技安全該如何認識合格供應商與信賴服務供應商

2018年下旬,美國國防部高級官員公開表示,數位科技安全將成為效益、成本及執行進度之外的第四個重要衡量指標,顯見數位科技安全日益提高的重要性。

因應重大資安事件不斷發生,數位科技安全於過去幾年中受到全球的重大關注,其中涉及國家安全的國防與關鍵基礎設施業者,更是不敢輕忽。2018年下旬,美國國防部高級官員公開表示,數位科技安全將成為效益、成本及執行進度之外的第四個重要衡量指標,顯見數位科技安全日益提高的重要性。

涉及國安的供應鏈安全將越來越獲重視
根據國外媒體近期報導,美國國防部官員透露,美國國防與政府機構正與國家標準暨技術研究院(NIST)合作制訂供應商的網際安全標準,希望能在2020年開始實施,未來所有業界的供應商在參與相關採購案件時,都必須要遵循相關標準。美國國防部採購部門官員亦表示,這項稱為網際成熟模型認證(Cybersecurity Maturity Model Certification)的標準將區分為五個不同的等級,一旦生效後,獨立的民間第三方機構將可對供應商進行稽核,以確保其符合性。

確保數位科技安全要用「黑名單」還是「白名單」
國內行政院已在今年公布「各機關對危害國家資通安全產品限制使用原則」之行政命令,要求各機關進行盤點,確認目前已採購來自「危險地區」的產品,未來還將公布禁用產品清單給受資通安全管理法規範的單位與業者。換言之,國內近期的未來,將出現一份適用於政府機關、關鍵基礎設施業者及特定非公務機關的數位科技安全「黑名單」。顯然現行規定係以確保政府機關、關鍵基礎設施業者及特定非公務機關實體環境內之設備為第一優先,然而,因其適用範圍尚未延伸至提供服務的委外供應商,特別是不在單位內部提供服務之情況,相信未來為了確保整體供應鏈之安全,相關安全要求,將會逐步擴充。例如,在優先擬定數位科技安全「黑名單」後,後續可能會進一步建立各項數位科技安全的標準與驗證機制,以建立「安全白名單」。畢竟,在要求各單位不得使用部分可能衍生數位科技安全問題的系統與設備後,馬上就會面臨到要使用那些系統與設備才安全的實際問題。

對民眾提供信賴服務供應商(TSP)之數位科技安全要求不容輕忽
除了資通安全管理法規範的政府機關、關鍵基礎設施業者及特定非公務機關外,目前對大量民眾提供信賴服務的供應商(例如:電子簽章、數位身分識別及網頁認證等),其數位科技安全要求亦不容小覷。因應數位科技之發展,歐盟已建立對民眾提供信賴服務之業者應具備符合數位科技安全之要求,並建立對應之第三方認證與通過之信賴(業者)清單公佈之機制,其作法非常值得參考。

以「深、思、熟、慮」策略設計適用供應商與TSP的數位科技安全要求
國外對於建立合格供應商(例如:美國之Federal Risk and Authorization Management Program, FedRAMP、National Information Assurance Certification and Accreditation Process, NIACAP、新加坡之Productivity Solutions Grant,PSG等)之機制(含認證)已行之有年,但國內公務機關以往常受政府採購法之侷限,深怕設定相關規格要求,將影響廠商競爭或落入技術規格限制之情況。然而,在目前數位科技安全要求不斷提高的情況下,除了限制可能危及數位科技安全產品外,若再不著手針對政府機關、關鍵基礎設施業者、特定非公務機關及對大量民眾提供信來服務之業者訂定數位科技安全相關要求,未來可能會面對更為嚴峻的考驗。

筆者提出以下「深、思、熟、慮」的策略建議,作為相關單位後續設計適用供應商與TSP數位科技安全要求之參考:
1. 「深」入了解供應鏈運作環境:依據行政院公佈資料,資訊作業委外型態分為顧問訓練、維運管理、系統發展及雲端服務等4種,計21種型態,不同服務之供應鏈即以不同型態運作,必須依據不同型態設計不同之適用標準。
2. 「思」考與獨立驗證單位合作:政府資安人力有限,參考國際經驗,政府機關大多扮演認證制度設計或遴選之角色,而實際認證之工作,大多委由獨立之第三方負責,如此不僅可提高數位科技安全水準,更能扶植產業能量。
3. 以系統分級訂定成「熟」度要求:資通安全法已明定資訊系統分類分級方法,相對而言,委外廠商提供的服務亦應對應建立「成熟度」之要求,提供資安要求較高之系統服務委外廠商,應具備較高數位科技安全成熟度。
4. 考「慮」將TSP納入管理範圍:信賴服務供應商(TSP)提供大量民眾信賴服務,然而就現況而言,並不一定屬於關鍵基礎設施業者,可考量透過法定之指定程序將其納管,以確保廣大民眾的使用安全。

如同管理防火牆規則之通則順序:限制可能造成危害來源、開放信賴來源、開放使用服務、阻擋所有未開放服務與來源。在未來數位科技安全合格供應商與信賴服務供應商的管理也可以參考此順序,但一定是「黑名單」與「白名單」並用,才能達到最佳效果!


本文作者目前任職於KPMG數位科技安全(Cybersecurity)服務部副總經理與高級顧問師