[數聯資安總經理 李明憲] 遠傳子公司數聯資安厚植資安能量, 助企業降低數位營運風險
“隨著企業及政府持續投入數位轉型、創新營運或服務模式以追求成長,隨之而來的資安風險與潛藏的威脅也益發不可忽視。今年上半年業界最關注的話題之一莫過於上市櫃公司「資安長」和資安專責單位的設立,規範漸趨擴大的法規也帶動大型企業、特別是電子製造業對資安的重視和投資。”
成立於2004年的數聯資安,擁有全台首座企業級資安監控中心(SOC, Security Operation Center),2009年成為遠傳100%子公司後,整合集團豐富資通訊網路資源,持續深耕資安服務領域,並以專業技術團隊以及自主研發能力,提供專業資安監控、資安檢測、資安治理等多樣化解決方案及顧問服務,成為企業數位轉型路上最可信賴的資安夥伴。
法規等因素驅動,資安投資升溫
供應鏈數位化的資安缺口引關注現任數聯資安總經理李明憲,服務企業客戶已逾25年,帶領過遠傳企業暨國際事業群的業務團隊與產品行銷等部門10多年,協助相當多產業和政府公部門實現數位轉型,完整的歷練也讓他對企業市場的觀察格外深入。李明憲表示,通常企業對於數位轉型的投資,方向多較明確,像是製造業投入智慧製造,主要目的在提高效率和生產力,也容易看出投資效益(ROI)。
而資安的投入主要在避免威脅和控制損失,然資安的防護範圍其實很廣,加上科技不斷更迭,通常還需要逐年補強,相對效益也不易量化評估。 因此過往除了政府、金融、重點基礎設施(如電信、交通、水電等公用事業)等產業,其他企業對於資安的投資相對保守。
此次上市櫃公司指引的修正將規範逐步擴大到各級產業,對資安的投資也形成引導,加上近年來各種勒索攻擊與資料外洩等駭侵事件頻傳,大型企業尤其電子製造業,對資安風險的重視與需求也明顯上升。
李明憲觀察,近半年到一年來企業客戶最焦慮或關注的供應鏈資安議題主要有兩個面向,一個是從技術面去應對實際的威脅,包括社交工程結合APT攻擊手法、勒索軟體或雲端挖礦惡意軟體消耗雲端運算資源等。特別是伴隨產業供應鏈上下游數位化串聯所形成的間接攻擊,或是上游供貨端遇攻擊造成下游無法準時出貨的損失等,這些都是實體產業鏈在數位化時代容易形成的資安缺口。
此外現在許多軟體開發來源來自外部或開源軟體,是否被內植惡意軟體形成引狼入室,這種來自軟體開發供應鏈的間接攻擊,以及雲端開發環境是否有完整的資安防護,加上疫情以來大量遠距工作引發的資安風險,如何讓員工「安全」地在家上班,也促使「零信任(Zero Trust)架構概念」受到更多的產業的重視。
資安長首重理解企業商業價值
從管理面完善風險排序與資源配置另一個面向則是管理面,由於去年底金管會公告要求111家第一級上市公司設置資安長及專責人員,並且對資訊資產盤點及相關防護措施、資安管理制度的建立稽核等都有完整規範,也帶動了企業對資安檢測與顧問服務的剛性需求。包括ISMS資訊安全管理制度、網路及端點檢測防護、APT攻擊防護、社交工程演練等詢問度都上升;特別是產業界過去導入ISO27001認證並不普及,但現今因ICT、半導體等供應鏈受到國際大廠客戶的要求,加上對企業內控稽核也有一定幫助,因此今年以來受到高度詢問。
對此李明憲也建議,取得認證只是一個開端,企業應洞悉資安指引背後的意義,才能真正落實ISMS資安管理制度。對企業來說,資安就是風險管控,當資源有限,要先定義涵蓋的範圍及領域,找出哪些是最優先防護的重要資訊資產與營運系統,建立管理制度及保護評估,並以PDCA(Plan規劃—Do實作—Check檢核—Act行動)的循環持續改善,且每年應重新盤點風險來源,例如企業因應疫情從實體通路轉進電子商務,當營運模式改變時,資安的重點就應有所調整。
由此觀點來看,企業應如何找到合適的資安長?李明憲建議,「技術純熟是加分、但非最重要的考量,資安長應對企業的商業營運模式和業務價值有充分理解,能據此定義風險來源,盤點並排序重要性,進而作資源配置和建立制度。」當以上環節都確立之後,再交由資安專責人員來執行。
李明憲也分享,客戶最常問的就是資安預算有限,要如何排出優先順序?這時企業如有導入ISMS,就可以幫助企業更容易找出重要的資產並決定資源如何投入。以製造業來說,重要資產可能在OT端,不在傳統IT的管轄範圍內;而金融業為發展數位金融,可能成立獨立的數位金融部,有自己的軟體開發人員,與原本的IT部門互不隸屬。因此資安長要跳脫傳統IT的框架,從更高點來思考資安風險和資源配置,以避免資源投入的優先順序不對稱。
破除迷思:資安非零和遊戲
未來靠AI大數據應對進化的風險李明憲也提醒,過去的思維可能以為資安是零和遊戲,投入防護就不會發生事件,但進入到數位化與物聯網的時代,資安風險範圍太廣,佈防成本相對提高,保護了A點還是可能B點被攻擊,因此除了盡量降低風險外,最重要的還是損失要可控管,企業應針對損失影響大的優先投入資源,再逐年改善。
隨著風險不斷進化,李明憲也期許他所帶領的數聯資安,要以業界唯一獲三項ISO認證的SOC資安監控服務為基礎,成為資安託管服務供應商(MSSP, Managed Security Service Provider)的領導者,並結合母公司遠傳的「大人物(大數據、人工智慧、物聯網」策略,針對數量龐大的資安事件及告警,運用大數據的整合關聯分析,將過往基於已知的特徵(Pattern)或規則為基礎的監控模式,逐漸轉變為透過AI機器學習來偵測異常行為,及早找到潛藏的風險和威脅來源,以差異化的解決方案,持續守護客戶資安。