根據 KPMG《2024 台灣 CEO 前瞻大調查》,82% 台灣 CEO 認為在未來三年,網路犯罪與不安全性將對企業營運造成重大影響;網路資安研究機構 Cybersecurity Ventures 亦指出,網路犯罪在 2025 年所造成的損失可能高達 10.5 兆美元。當企業身處 AI 應用爆炸性發展的時代,如何鞏固資安防線擊退駭客威脅?TechOrange 科技報橘《全新一週》特別採訪合勤投資控股公司資安長暨黑貓資訊總經理游政卿,深入解析供應鏈資安的關鍵挑戰與應對策略,以及如何透過主動式防禦技術,提前識別供應鏈風險。游政卿也將分享第三方網路風險管理(TPRM)的實用案例,全面助力企業強化資安體系。
供應鏈資安威脅加劇,企業無法獨善其身
「駭客只要找到一個破口,透過可信任管道就可以入侵你的環境,」游政卿表示,在目前企業環境中,供應鏈包含大量數位化環節,像是軟體更新、雲端應用服務,也涵蓋與外包資訊團隊的合作,只要是企業與上下游合作夥伴之間往來時可能發生的任何資安風險,都屬於供應鏈資安範疇。
游政卿分享,在美國就曾發生一起案例,有 IT 資訊企業提供軟體服務,並協助客戶安裝後自動派載更新,以維持軟體的有效性與安全性,但駭客利用「已經存在的信任關係」攻陷該企業,再置入惡意程式碼,透過標準更新向成千上萬的客戶散布程式碼、部署惡意程式,形成典型的供應鏈攻擊。台灣作為資通訊大國,向美國政府、聯邦機構提供服務時,也面臨類似情形。駭客利用客戶已信任的台廠軟體更新服務器設定惡意程式,並嘗試透過此管道入侵美國政府機構與企業,「這些挑戰讓台灣廠商驚覺,供應鏈管理不能只靠單一企業做好資安,因此積極了解供應鏈管理的基礎,也藉由這些經驗轉化為改善供應鏈資安的動力,」游政卿觀察。
「企業無法獨善其身把自己做好,因為最終交付來自供應鏈所有的產出,」針對複雜供應鏈衍生的資安挑戰,游政卿強調客戶在意的不僅僅是合作企業表現,更在意共同提供服務的供應鏈夥伴是否影響基礎安全,這個現況彰顯供應鏈安全的重要性。因此游政卿建議企業從客戶進行供應商稽核的角度,全面檢查資安相關防護,以及上下游之間供應鏈安全管理的機制,並說明擬定資安策略時,首先需要針對資訊、系統進行盤點,掌握自己所有的資產;第二點是由高層提供支持,協助工作者建立資安意識;還有一點需要落實,就是攜手合作夥伴備足資安防護,才能打造符合客戶可能要求的乾淨供應鏈網路。
合勤採取主動式防禦,並確保供應商資安合規性
面對 AI 等新興科技攻擊手法,企業決策者如何強化主動式資安防禦?「我們看到資安規範已有區域別的劃分,在歐洲、美國、英國都有自己相關的法規要求,會影響企業進入該領域的貿易,因此驅動企業快速因應及改善,」游政卿指出,合勤集團首先會掌握前端標案所需的規格,包括品質、成本、交付、服務控管以及資訊安全要求,對於國外客戶而言,還會要求企業依循 ISO 27001 等國際資訊安全標準法規,或者需要獲得 CMMC 網路安全成熟度模型認證、符合特別領域資安規範才能與美國國防部進行生意往來,面對這些狀況,合勤集團透過檢查與資安規範之間的差異,研擬應該補足的內容。
「我們運用 TPRM(Third-Party Risk Management, 第三方風險管理)策略在工作前、中、後階段制定規範,選擇供應商時也會以管理自己部門的標準,要求關鍵供應商符合最高資安要求、國際重要規範,接著才會洽談下一步合作,」游政卿表示,當各類供應商在曝險、鏈結力道、數位環節有所差異,對於資安管理要求的程度大不相同時,合勤集團將供應鏈廠商分類為關鍵供應商、硬體供應商、軟體供應商與外包服務供應商四大類,設定不同標準以確保供應商符合資安規範。合勤更建立一種稽核方法,根據企業資訊或參與論壇檢查未來合作夥伴是否曾經被揭露資安事件,進而確認企業真正落實資安程序,以及鏈結成熟度和韌性是否達到承諾標準。
「資訊安全就是做生意的敲門磚,未具備相關能力將造成貿易壁壘,甚至難以接到新訂單、獲得更大份額,所以把資安做好也是企業提升競爭力的關鍵,而且需要持續被強化,」至於資源相對較少的中小企業如何強化資安管理?游政卿認為業者仍須推動基本安全防線到位,如企業內部禁用非法軟體、使用正版作業系統、持續更新防毒措施、建立防火牆、將資料加密,「這五項做到位,就如同在疫情當下已經配戴口罩、打疫苗,也像是具備職業駕照的司機,會成為我們在一百萬個企業裡面,尋找服務商的優先選擇,這就是我們認為應該要做,且能做得到的資安防護,」游政卿強調。
以 IT 角度提供兼具效率、安全的資安解決方案
游政卿也指出,過去合勤集團 IT 部門資安團隊使用國際企業資安公司解決方案,觀察到資安專家往往從駭客角度提供防禦,不一定真正執行資安層面維持與進化工作,使得資安落地困難。因此合勤集團拆分旗下資安團隊成立子公司黑貓資訊,透過 IT 思維設計合宜的資安服務,協助企業提高目前資安與 IT 的運作、管理效率,「4 月 15 至 17 日,合勤集團將在台灣資安大會 C118攤位展示集團防火牆、黑貓資訊解決方案,還有針對國防、國安的網路解決方案,將為與會者帶來更詳細說明,也歡迎大家蒞臨,透過交流與分享深刻掌握資安洞見,並建立資安領域的防護與韌性,」游政卿分享。
