如何驅動產業資安化

更新於 2022/06/23閱讀時間約 3 分鐘
將資安技術落實於台灣產業有兩大方向: 資安產業化與產業資安化。前者的重點在創造或強化能解決各行各業內部IT或產品資安問題的專業公司,而後者則著重如何促使一般企業增加對資安建設的投資。由於政府在政策訂定及產業推動的大力投入,過去數年資安產業化成效顯著: 台灣資安產業自2017年開始,每年平均成長率11%,高於全球平均8%;其2020年成長率更是無懼COVID-19疫情逆勢增至12.2% (同年全球資安產業成長率僅2.8%),而整體資安產值則來到553億。然而,由於最近兩年來台灣製造產業飽經勒索軟體涂毒,受害不輕,所以產業資安化的總體成績不盡人意。
產業資安化進程遲緩的主要原因源於台灣企業對資安建設的投資過少。根據工業局的統計,只有0.2% 台灣製造業者的每年資安設備預算超過台幣三百萬且擁有完整自主資安團隊,約5% 製造業者年資安設備預算超過台幣三百萬但不具有完整資安團隊,其餘95% 製造業者則資安設備預算與人才配置皆偏低。舉例而言, 2019年每公司的平均資安設備預算在電子資訊業和金屬機電業都低於台幣一百萬,但金融業、醫療業則分別達台幣兩千兩百萬和八百萬。進一步瞭解後發現,絕大部分公司的老闆對資安的重要性在觀念層次上都相當認同,但在作實際資安軟硬體投資決定時則每每眼高手低、言勝於行。
此中最根本的原因是資安投資的投資回報 (return on investment, or ROI) 往往無法量化。亦即,每當IT部門提案申請強化資安的計劃,公司老闆總會問: 此次提案採購的資安設備究竟可增加多少資安防護力? 從公司治理的角度,這樣的問題完全合理;然而實務上,因為現有資安技術根本無法回答這個問題,提案部門乃至配合的資安設備供應商幾乎都無法提出讓老闆滿意的答案。最後,由於資安計劃的投資回報不明確,這樣的提案在公司施政排序自然後移,終致不了了之。從以上分析可知,欲增加企業資安建設的投資,必以強化資安建設與公司施政目標的聯結為先。
民國 107 年 6 月 公告的《資通安全管理法》將全國公私立機關分成A、B、C、D、E五個資通安全責任等級,並對每一等級就資安人員的資格與配置、資安教育訓練、資安健診項目、必要資安防護機制作明確的規定。因為公私立醫學中心、銀行/金融服務公司都屬A級關鍵基礎設施,資安要求最嚴格; 為求符合法令規定,這些單位的資安建設投資在近兩年來皆呈直線成長,遠遠超過其他非屬關鍵基礎的民營公司。
然而, 製造產業並不在《資通安全管理法》規範的範圍, 所以沒有大力投入資安建設的誘因。所幸,近年來逐漸興起的供應鏈安全議題,尤其在2020年中美貿易大戰後,為台灣製造產業的資安化提供一道解套的曙光。為防範供應商因受駭而在其交付產品被埋入惡意程式,大型產業供應鏈的領頭羊如波音、通用汽車、台積電等除了加強自身資安設施,也開始要求其供應商遵循起碼的資安規範並將此列入例行稽核項目之中,以確保每個生態圈成員都建置適當的資安防衛力量。對製造產業老闆而言,因供應鏈安全所引發的資安建設投資變成產品開發與競爭力的一環,其投資回報不但明確,甚至具急迫性,所以落實的機率大為提高。
為引導台灣中小型製造業加速資安建設,政府可考慮將世界一流供應鏈(如台積電)的資安稽核項目及程序整理歸納成標準作業方案,提供給國內各公協會作為其相關產業鏈管理供應鏈安全的參考。經由類此供應鏈資安聯防的驅策,台灣的製造業不但能一舉強化內部資安管理,更能進而提升其產品的世界競爭力。
    avatar-img
    1會員
    22內容數
    留言0
    查看全部
    avatar-img
    發表第一個留言支持創作者!
    三家村語的沙龍 的其他內容
    勒索病毒基本上是一種特殊惡意軟體,而能防堵任意惡意軟體的萬靈丹並不存在。所以,不像新冠病毒已有反制效果明顯的疫苗,對勒索病毒現在只有治標的解藥,尚無治本的療方,而這道解藥就是資料備份 (data backup)。但是,資料備份只能恢復被駭客扣押的資料,並無法阻止駭客洩漏偷取到手的資料。
    太陽風攻擊事件充分曝顯了供應鏈攻擊 (supply chain attack) 的嚴重性: 駭客先分析攻擊目標單位所使用的軟體,找出這些軟體產品的供應商中資安防護較差的,入侵他們的軟體更新遞送設施,將惡意程式植入其最新軟體版本,再藉由軟體更新機制送入攻擊目標單位。
    因為太陽風資安事件給我們最大的啟示是,一個不怎麼起眼的商業應用程式,如檔案格式轉換工具,就有可能暗藏洩漏價值連城know-how的後門程式, 進而演變成護國神山下的暗流。
    鑑於自動攻防技術的戰略重要性,為今之計,政府應在最短時間內結合學界、法人與軍方的資安研發能量、強力籌組國家級自動攻防技術研發團隊,以圖快速迎頭趕上,進而與對岸並駕齊驅,俾能及早體現「資安即國安」的積極意義。
    TerraUSD應將壽終正寢、再無翻身之可能。它的貨幣供給量調節演算法既未經過嚴謹的數學證明、更乏實戰的淬鍊,再加上其存款服務疑似老鼠會式的商模引發類擠兌行為,導至偏離維穩演算法預設的操作範圍,始則左支右絀、捉襟見肘,終至每況愈下、萬劫不復。
    過去一些成果是不是表示台灣是否已經成功培養出能提升其資安國力所需的資安產業人才?其實答案是否定的。真正能開發資安工具自動化的人才對系統軟體(如作業系統、編譯器、虛擬機監視器)、資安攻防手法、人工智慧技術通常有多年浸淫的實戰經驗,也將是台灣資安產業能否破繭而出的關鍵研發力量。
    勒索病毒基本上是一種特殊惡意軟體,而能防堵任意惡意軟體的萬靈丹並不存在。所以,不像新冠病毒已有反制效果明顯的疫苗,對勒索病毒現在只有治標的解藥,尚無治本的療方,而這道解藥就是資料備份 (data backup)。但是,資料備份只能恢復被駭客扣押的資料,並無法阻止駭客洩漏偷取到手的資料。
    太陽風攻擊事件充分曝顯了供應鏈攻擊 (supply chain attack) 的嚴重性: 駭客先分析攻擊目標單位所使用的軟體,找出這些軟體產品的供應商中資安防護較差的,入侵他們的軟體更新遞送設施,將惡意程式植入其最新軟體版本,再藉由軟體更新機制送入攻擊目標單位。
    因為太陽風資安事件給我們最大的啟示是,一個不怎麼起眼的商業應用程式,如檔案格式轉換工具,就有可能暗藏洩漏價值連城know-how的後門程式, 進而演變成護國神山下的暗流。
    鑑於自動攻防技術的戰略重要性,為今之計,政府應在最短時間內結合學界、法人與軍方的資安研發能量、強力籌組國家級自動攻防技術研發團隊,以圖快速迎頭趕上,進而與對岸並駕齊驅,俾能及早體現「資安即國安」的積極意義。
    TerraUSD應將壽終正寢、再無翻身之可能。它的貨幣供給量調節演算法既未經過嚴謹的數學證明、更乏實戰的淬鍊,再加上其存款服務疑似老鼠會式的商模引發類擠兌行為,導至偏離維穩演算法預設的操作範圍,始則左支右絀、捉襟見肘,終至每況愈下、萬劫不復。
    過去一些成果是不是表示台灣是否已經成功培養出能提升其資安國力所需的資安產業人才?其實答案是否定的。真正能開發資安工具自動化的人才對系統軟體(如作業系統、編譯器、虛擬機監視器)、資安攻防手法、人工智慧技術通常有多年浸淫的實戰經驗,也將是台灣資安產業能否破繭而出的關鍵研發力量。
    你可能也想看
    Google News 追蹤
    Thumbnail
    *合作聲明與警語: 本文係由國泰世華銀行邀稿。 證券服務係由國泰世華銀行辦理共同行銷證券經紀開戶業務,定期定額(股)服務由國泰綜合證券提供。   剛出社會的時候,很常在各種 Podcast 或 YouTube 甚至是在朋友間聊天,都會聽到各種市場動態、理財話題,像是:聯準會降息或是近期哪些科
    Thumbnail
    從進化論的觀點來看,生命的演化應該是由簡而繁,由少而多,漸次地佈滿地球的舞台。但是地質紀錄卻告訴我們不是這麼一回事。大約在五億四千四百萬年前,地質學上的寒武紀年代,它的地質紀錄顯示,在短暫的幾百萬年到仟萬年間,所有的動物門全數出現,動命生命由單調乏味瞬間轉變為多樣與燦爛,地球舞台上搖曳著各式各樣的動
    Thumbnail
    在當今數據化時代,保險行業正在經歷一場前所未有的變革,除了傳統的訪談法進行保險產品開發,用數據增強新產品的可信度越來越重要。但公司不一定具備條件探索顧客關心的議題、產品條件、商品情緒,因此從產品開發到客戶關係管理,每一環節都充滿了創新的機遇。
    Thumbnail
    測試介面大廠穎崴近期股價自先前低點上漲逾 30%,即使市場普遍認定公司Q4營運將持續低迷,但多數都已將目光看向2024年測試座將隨 AI 晶片出貨瓶頸解決需求快速成長,穎崴已成功卡位 NVIDIA 和 AMD 之主要供應商地位,預期可直接受惠,該如何解讀穎崴 2024 年營運狀況?
    Thumbnail
    台灣民眾黨不分區立委提名人黃國昌、張啟楷、劉書彬召開記者會,針對國會改革提出政見。主張成立國會聽證調查制度、改革國會人事同意權,並要求閣揆跟其他人事同意權。定期邀請總統國情報告。改採混合聯立制。
    Thumbnail
    AI正在改變商業運作,尤其在客戶服務、營銷、運營、人力資源和金融服務等領域。聊天機器人和語音助理提供即時支援;數據分析助力營銷個性化和需求預測;自動化履歷篩選加速招聘;金融領域則看到更精確的信用評估和投資建議。隨著技術進步,AI在商業中的應用將持續擴展。
    Thumbnail
    隨著區塊鏈不斷透過NFT、藝術和遊戲滲入到我們的生活中,五花八門的資訊越來越多,總是覺得有讀不完的新聞、文章和報告,許多人可能都和我們一樣,感受到了更明顯的「知識焦慮」。今天我們邀請到人稱創業里長伯的Fox,來跟我們分享如何跟上區塊鏈世界中的最新資訊。
    Thumbnail
    《達爾文進城來了:新物種誕生!都市叢林如何驅動演化?》 作者|曼諾‧許特惠森 譯者|陸維濃, 林大利(審定) 出版|臉譜
    Thumbnail
    鋼鐵,是建築的基本架構,是支撐起現代社會的重要材料。鋼鐵的應用範圍相當廣泛,然而鋼鐵的生產過程會產生大量的溫室氣體,是導致氣候變遷的一大原因。 佔全球碳排放 9%,專家預測:鋼鐵業需在 2050 年前減碳 90% 根據非政府組織 ​​Global Energy Monitor 的調查,全球的鋼鐵產
    Thumbnail
    延續上篇的內容,這期跟大家分享對於剩下幾間公司的心得跟想法。 資安大廠代理商: 零壹(3029)、敦陽科(2480)、聚碩(6112)、凌群(2453)、精誠資訊(6214)。 偏硬體相關: 立端(6245)、是方(6561)、瑞祺電通(6416)。
    Thumbnail
    安碁資訊是目前台股中最純粹資安概念股,也是國內最大SOC(資安監控中心)業者,服務對象以政府部門為主,占比有6至7成,其次是金融業與製造業。
    Thumbnail
    *合作聲明與警語: 本文係由國泰世華銀行邀稿。 證券服務係由國泰世華銀行辦理共同行銷證券經紀開戶業務,定期定額(股)服務由國泰綜合證券提供。   剛出社會的時候,很常在各種 Podcast 或 YouTube 甚至是在朋友間聊天,都會聽到各種市場動態、理財話題,像是:聯準會降息或是近期哪些科
    Thumbnail
    從進化論的觀點來看,生命的演化應該是由簡而繁,由少而多,漸次地佈滿地球的舞台。但是地質紀錄卻告訴我們不是這麼一回事。大約在五億四千四百萬年前,地質學上的寒武紀年代,它的地質紀錄顯示,在短暫的幾百萬年到仟萬年間,所有的動物門全數出現,動命生命由單調乏味瞬間轉變為多樣與燦爛,地球舞台上搖曳著各式各樣的動
    Thumbnail
    在當今數據化時代,保險行業正在經歷一場前所未有的變革,除了傳統的訪談法進行保險產品開發,用數據增強新產品的可信度越來越重要。但公司不一定具備條件探索顧客關心的議題、產品條件、商品情緒,因此從產品開發到客戶關係管理,每一環節都充滿了創新的機遇。
    Thumbnail
    測試介面大廠穎崴近期股價自先前低點上漲逾 30%,即使市場普遍認定公司Q4營運將持續低迷,但多數都已將目光看向2024年測試座將隨 AI 晶片出貨瓶頸解決需求快速成長,穎崴已成功卡位 NVIDIA 和 AMD 之主要供應商地位,預期可直接受惠,該如何解讀穎崴 2024 年營運狀況?
    Thumbnail
    台灣民眾黨不分區立委提名人黃國昌、張啟楷、劉書彬召開記者會,針對國會改革提出政見。主張成立國會聽證調查制度、改革國會人事同意權,並要求閣揆跟其他人事同意權。定期邀請總統國情報告。改採混合聯立制。
    Thumbnail
    AI正在改變商業運作,尤其在客戶服務、營銷、運營、人力資源和金融服務等領域。聊天機器人和語音助理提供即時支援;數據分析助力營銷個性化和需求預測;自動化履歷篩選加速招聘;金融領域則看到更精確的信用評估和投資建議。隨著技術進步,AI在商業中的應用將持續擴展。
    Thumbnail
    隨著區塊鏈不斷透過NFT、藝術和遊戲滲入到我們的生活中,五花八門的資訊越來越多,總是覺得有讀不完的新聞、文章和報告,許多人可能都和我們一樣,感受到了更明顯的「知識焦慮」。今天我們邀請到人稱創業里長伯的Fox,來跟我們分享如何跟上區塊鏈世界中的最新資訊。
    Thumbnail
    《達爾文進城來了:新物種誕生!都市叢林如何驅動演化?》 作者|曼諾‧許特惠森 譯者|陸維濃, 林大利(審定) 出版|臉譜
    Thumbnail
    鋼鐵,是建築的基本架構,是支撐起現代社會的重要材料。鋼鐵的應用範圍相當廣泛,然而鋼鐵的生產過程會產生大量的溫室氣體,是導致氣候變遷的一大原因。 佔全球碳排放 9%,專家預測:鋼鐵業需在 2050 年前減碳 90% 根據非政府組織 ​​Global Energy Monitor 的調查,全球的鋼鐵產
    Thumbnail
    延續上篇的內容,這期跟大家分享對於剩下幾間公司的心得跟想法。 資安大廠代理商: 零壹(3029)、敦陽科(2480)、聚碩(6112)、凌群(2453)、精誠資訊(6214)。 偏硬體相關: 立端(6245)、是方(6561)、瑞祺電通(6416)。
    Thumbnail
    安碁資訊是目前台股中最純粹資安概念股,也是國內最大SOC(資安監控中心)業者,服務對象以政府部門為主,占比有6至7成,其次是金融業與製造業。