資訊安全敲門，檢測認證業準備好了嗎？

資訊安全對於檢測驗證行業是有一定的挑戰。我在2018年開始接觸資訊安全，一開始選定切入的目標是工業控制領域相關的資安IEC62443，會選擇這個題目切入是因為在2016年我認為因應工業4.0以及智慧工廠的趨勢，工控產品將開始有更多的無線功能，因此開始拓展工業控制的相關市場。並從這個基礎上思考延伸更多的新服務以及未被滿足的市場需求，也有了之後用5年的時間在台灣達到了IEC62443工控資安的發證市場佔率70%的成果。

在建構團隊的過程非常艱困也非常辛苦,包含了以下挑戰:

• 資安背景的人才不瞭解檢測認證，檢測認證的人才不瞭解資訊安全。
• 台灣的產業過去多集中在硬體的研發與製造，相較與硬體，軟體人才相對較少，資安人才更加不足。
• 台灣的資安人才多集中在IT資安與ISMS(Information Security Management System)範疇，對於OT與CSMS(Cybersecurity Security Management System)的範疇了解的非常稀少，即便到今日，人才也相當稀缺。
• 資安對於許多廠商而言是隱形成本，因此相較不重視。當然經過這幾年無論是國際或是台灣對於資安有相關強制的法規與標準，駭客攻擊不斷，廠商對於資安的意識逐漸重視。
• 資安變現不易，在短時間內要達到break even非常挑戰。
• 現有檢測流程難以即時導入資安認驗證，許多傳統實驗室或發證機構缺乏資安人才與設備，無法提供符合市場需求的滲透測試、弱點掃描與產品安全開發流程等服務。
• 認知落差大: 不少企業仍認為資安是「IT部門的事」，與產品設計、測試無關。但實際上，越來越多資安攻擊是從硬體與韌體層面滲透，產品端的資安檢測需求正在快速成長。

如何克服這些挑戰，以下是我的作法:

• 透過願景與核心理念給予團隊方向與目標
• 用TIC角度去思考Cybersecurity,而不是用Cybersecurity角度去思考TIC
• 混合型團隊: TIC領域經驗(50%)與資安領域(50%)。將團隊混合學習。經由一段時間，從中選取與栽培人格特質正向、具備責任感、認同公司方向與具備解決問題能力的同仁。
• 前兩年組織扁平化，在第三年隨著團隊擴編與營收增長，開始接續培養各個團隊包含工程、專案管理、與業務團隊的培訓主管。
• 跨部門與跨國協作: 讓團隊同仁彼此合作與發想，增進對事業處的向心力。透過跨國協作讓團隊進行更多的技術交流與經驗累進，提升對公司的認同。
• 必須要有單一團隊才能快速整合資源以及在地建構相關資安服務
• 在網路安全團隊中實施Lean six sigma(6σ) 透過 DMAIC 方法論
• 策略聯盟，建立生態系(Ecosystem)
• 加入相關台灣產業協會並參與相關國際組織與體系，提高國內與國際曝光度與產業連結
• 核心生意達到市場一定占比後，發展第二與第三成長引擎
• 釐清發證機構與實驗室扮演的角色與市場定位發展資安，因為兩者做法完全不同。(這一點非常重要!)

資安對於檢測認證機構的機會:

• 歐盟從GDPR到NIS2到RED到2027年強制的CRA要求, 對於資安的路徑相對清晰。
• RED與實驗室連結性強，因為結合了EMC與RF。發證機構更應關注歐盟CRA的要求，因為CRA包覆了RED與IEC62443,EN303645,SBOM, ISO27001等相關的要求。
• 美國: 後續因為AI的應用以及台積電赴美，必須要密切關注美國對於基礎建設、消費性產品、半導體的資安相關要求強制的進程。
• 消費性產品: 資安標準ETSI EN303645，會是各個國家制定消費性產品的參考依據。包含現在的新加坡、日本、英國、澳洲等，美國的FCC CYBER trust mark也會與這個標準界接，除了資安的評估與測試外，之後可以關注CB轉證發展。
• 工控產品: 資安標準IEC62443除了在工業控制領域之外，在基礎建設、半導體(SEMI E187)、醫療(FDA,EU MDR)、鐵道(TS50701)、海事(UR E27)、場域驗證會大幅採用這個標準。
• 車用市場: 台灣車廠OEM少，大多數是Tier1或是Tier2，會根據國際車廠OEM的要求去符合相關資安標準R155,R156與ISO21434。車用電子相關廠商會是檢測認證機構可以發展的目標市場。
• 醫療市場: 台灣的ICT廠商這幾年都發展新的方向在醫療與車用，而醫療會因為未來AI的發展而更加重對於資安與軟體部分的要求。包含了IEC62443, UL2900,IEC62304,SBOM等。
• 半導體市場: 台灣全球半導體晶圓代工市占率將近70%，未來因應國際情勢尤其是美國對於半導體的供應鏈安全與資訊安全的要求一定會提升，因此SEMI E187與IEC62443將會是可以關注使用在半導體資安的標準。
• 場域: 與基礎建設相關的場域(例如油,水,電,能源,鐵道,海事,醫院等)將會是各個國家未來關注的重點，例如台灣的台電在儲能場域與台鐵會在相關的標案中加入IEC62443標準的要求。
• 將資安整合到功能/無線測試服務中: 針對Consumer IoT、Smart Home、醫療設備等相關產品，客戶愈來愈希望能一次完成完整的功能、安全、資安測試，形成一站式服務。
• 成為客戶的私人資安顧問: 透過一個專業的團隊協助客戶在前期包含產品開發階段或是對於各國法規需求進行彙整與量身訂做方案，再搭配資安評估服務+測試服務+發證。
• 建構可被信賴的資安認證品牌: 藉由原本的核心競爭力加上對於資安以及目標市場的價值主張在本地與全球市場建構資安品牌。

結論: TIC行業在發展資安務必要區分發證機構與實驗室的定位與價值主張，因為兩者所要負責的方向與任務不同。發證機構根據各個國家的法規、指令與標準提供資安評估與發證的高附加價值的資安服務，而實驗室著重在重複性高且可以拆解的強制性資安測試與評估工作。若將兩著角色混合將不利於資安生意的中長期發展與人才培育。

資訊安全對於檢測認證機構將會是下一波新機會，能否藉由原本的核心競爭力、清晰的策略方向、明確的市場定位、與價值主張掌握這波浪潮將會是檢測認證機構的挑戰!