將資安技術落實於台灣產業有兩大方向: 資安產業化與產業資安化。前者的重點在創造或強化能解決各行各業內部IT或產品資安問題的專業公司,而後者則著重如何促使一般企業增加對資安建設的投資。由於政府在政策訂定及產業推動的大力投入,過去數年資安產業化成效顯著: 台灣資安產業自2017年開始,每年平均成長率11%,高於全球平均8%;其2020年成長率更是無懼COVID-19疫情逆勢增至12.2% (同年全球資安產業成長率僅2.8%),而整體資安產值則來到553億。然而,由於最近兩年來台灣製造產業飽經勒索軟體涂毒,受害不輕,所以產業資安化的總體成績不盡人意。
產業資安化進程遲緩的主要原因源於台灣企業對資安建設的投資過少。根據工業局的統計,只有0.2% 台灣製造業者的每年資安設備預算超過台幣三百萬且擁有完整自主資安團隊,約5% 製造業者年資安設備預算超過台幣三百萬但不具有完整資安團隊,其餘95% 製造業者則資安設備預算與人才配置皆偏低。舉例而言, 2019年每公司的平均資安設備預算在電子資訊業和金屬機電業都低於台幣一百萬,但金融業、醫療業則分別達台幣兩千兩百萬和八百萬。進一步瞭解後發現,絕大部分公司的老闆對資安的重要性在觀念層次上都相當認同,但在作實際資安軟硬體投資決定時則每每眼高手低、言勝於行。
此中最根本的原因是資安投資的投資回報 (return on investment, or ROI) 往往無法量化。亦即,每當IT部門提案申請強化資安的計劃,公司老闆總會問: 此次提案採購的資安設備究竟可增加多少資安防護力? 從公司治理的角度,這樣的問題完全合理;然而實務上,因為現有資安技術根本無法回答這個問題,提案部門乃至配合的資安設備供應商幾乎都無法提出讓老闆滿意的答案。最後,由於資安計劃的投資回報不明確,這樣的提案在公司施政排序自然後移,終致不了了之。從以上分析可知,欲增加企業資安建設的投資,必以強化資安建設與公司施政目標的聯結為先。
民國 107 年 6 月 公告的《資通安全管理法》將全國公私立機關分成A、B、C、D、E五個資通安全責任等級,並對每一等級就資安人員的資格與配置、資安教育訓練、資安健診項目、必要資安防護機制作明確的規定。因為公私立醫學中心、銀行/金融服務公司都屬A級關鍵基礎設施,資安要求最嚴格; 為求符合法令規定,這些單位的資安建設投資在近兩年來皆呈直線成長,遠遠超過其他非屬關鍵基礎的民營公司。
然而, 製造產業並不在《資通安全管理法》規範的範圍, 所以沒有大力投入資安建設的誘因。所幸,近年來逐漸興起的供應鏈安全議題,尤其在2020年中美貿易大戰後,為台灣製造產業的資安化提供一道解套的曙光。為防範供應商因受駭而在其交付產品被埋入惡意程式,大型產業供應鏈的領頭羊如波音、通用汽車、台積電等除了加強自身資安設施,也開始要求其供應商遵循起碼的資安規範並將此列入例行稽核項目之中,以確保每個生態圈成員都建置適當的資安防衛力量。對製造產業老闆而言,因供應鏈安全所引發的資安建設投資變成產品開發與競爭力的一環,其投資回報不但明確,甚至具急迫性,所以落實的機率大為提高。
為引導台灣中小型製造業加速資安建設,政府可考慮將世界一流供應鏈(如台積電)的資安稽核項目及程序整理歸納成標準作業方案,提供給國內各公協會作為其相關產業鏈管理供應鏈安全的參考。經由類此供應鏈資安聯防的驅策,台灣的製造業不但能一舉強化內部資安管理,更能進而提升其產品的世界競爭力。
