新聞日期:2021-03-22
新聞來源:網管人
工研院攜手產官學共推資安 釐清防護需求展現本土技術價值
數位化浪潮在各行業逐漸發酵,資安意識也隨著本土企業歷經資安攻擊事件造成重大損失逐漸提高警覺,為了促進本土資安產業發展得以滿足企業需求,政府持續推動「國家資通安全發展方案」,截至2020年已是第五期。
2021年起的未來四年,行政院資通安全處處長簡宏偉指出,「要建立一比一的工控實驗場域供需求者進行測試驗證,經由實際演練,把IT領域擅長的資安技術帶入OT環境。」
回顧過去四年推動的國家資通安全發展方案,工研院資通所所長闕志克指出,主要基於資安產業化、產業資安化為總體策略。前者目標在促進資安業者得以獲利,後者則是協助工商產業提升面對勒索軟體等威脅的防護力。前幾年較偏重推動資安產業化,打造如同以色列、荷蘭等國家的資安產業蓬勃發展態勢,隨著本土大型企業遭受勒索軟體事件數量增加,產業資安化儼然成為下一步發展的重點要務。
過去本土產業對於資安化著墨不多,闕志克觀察,深入探究可發現,假設公司年營業額為5億新台幣,投入3百萬建置資安措施,到底可提升多少防護能量,大部分IT人員根本無法回答。實際上管理階層並非不願意編列預算,而是無法具體評估投資報酬率,使得資安始終未被列在優先等級。「這種現象並無對錯,IT人員必須對於資安提出具體承諾,並由供應商協助達成,才有能力說服管理階層。」
營運SECPAAS簡化供需媒合
工研院近幾年推動資安產業化,首要任務在於先提升需求,運用資安健檢方式,讓企業申請補助來提高檢測意願。此項目為中華軟協推動,集結相關廠商加入執行,當企業發現安全漏洞百出後,可依照優先順序補強或改善。其次是資通安全管理法通過,讓政府機關開始動起來。第三個策略是運用漏洞獎勵計畫,促進台灣製造的產品更具安全性,藉此提升產業競爭力。
闕志克進一步說明,在資安健檢方面,透過完備資安服務機構登錄機制,以及新增國內自主資安產品與服務認定原則,鏈結政府共同契約採購系統,提供需求方可信任的服務廠商。引進8家資安廠商組成服務團隊提供健檢服務,2018年至2020年促成197次,挖掘出7,446筆弱點,其中高達18%為高風險。
為了簡化供需媒合,工研院營運管理資安整合服務平台(SECPAAS),以連結供需雙方,打造具品質保證的國家資安商城,協助資安廠商開拓國內市場商機。2020年累計帶動52家、78項國內資安自主產品或服務上架,依據產品類型新增顧問服務、鑑識服務、勒索病毒急救包等項目,跨領域共同推廣國內資安廠商,例如SEMICON SECPASS主題區等,串連產官學成立台灣資安產業協會。
本土自主研發能量邁向國際市場
過往獨立建置部署的產品技術愈來愈難獲得企業青睞,必須針對各個垂直應用場域的風險整合式解決方案,以便在工作流程中增添控管措施發揮綜效,並且設計統一操控介面,讓IT或資安人員可掌握場域的運行狀態。
本土資安新創公司大多為白帽駭客社群產業化,闕志克指出,從2017年至2020年累計成立25家,其中11家業者來自駭客社群,例如HITCON、TDOH、逢甲黑客社、UCCU Hacker等,以滲透測試、紅隊演練、資安顧問等服務為利基,發展出滲透測試等資安產品。大型企業轉投資資安公司也是近年來普遍的趨勢,例如趨勢科技成立的TXOne Networks、力旺電子旗下熵碼科技、合勤集團旗下黑貓資訊等。
「近兩年資安界新創公司之所以蓬勃發展,內需被催生有一定關聯性,讓本土技術研發能量得以發揮。接下來發展的重點,除了持續推動資安產業化,更要讓專案性質的業務模式演進到可提供自主研發產品,進而推展到國際市場。」闕志克說。
專業團隊補強製造場域防護需求差異
於2019年上櫃的安碁資訊,可說是少數本土資安服務廠商掛牌的公司,已率先開展國際市場。安碁資訊總經理吳乙南指出,安碁資訊自2019年在海外已有經營合作夥伴,邁向國際市場的經驗,首要必須遵循ISO 27001、GDPR等國際標準規範,並且提交證明文件,提高公信力之後才得以順利推展。
工研院資通所所長闕志克指出,隨著本土大型企業遭受勒索軟體事件數量增加,產業資安化儼然成為下一步發展的重點要務。
Komentáře